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内 容 提 要 


为 帮助 广大 ICT 从 业 人 员 更 好 地 学 习 信息 和 网 络 技术 , 华为 技术 有 限 公司 在 2012 年 9 月 发 布 了 
业界 首 款 免费 的 企业 网 络 仿真 软件 平台 eNSP (Enterprise Network Simulation Platform)。 软 件 平 台 推 
出 至 今 ， 下 载 量 已 超过 百 万 ， 迅 速成 为 ICT 从 业 人 员 学 习 信 息 和 网 络 技术 的 首选 工具 。 随 着 学 习 的 
深入 ， 越 来 越 多 的 用 户 希望 能 看 到 与 eNSP 配套 的 实验 学 习 指南 ， 从 而 更 好 地 利用 eNSP 学 习 信息 和 


网 络 技术 ， 并 参加 华为 认证 考试 。 


为 此 ， 华 为 技术 有 限 公 司 与 泰克 网 络 实验 室 〈 华 为 授权 培训 合作 伙伴 ) 联合 编写 了 本 书 。 本 书 
最 大 的 特点 是 依据 HCNA 的 知识 点 ， 基 于 eNSP 搭建 企业 网 络 真实 场景 , 并 给 出 了 大 量 的 配置 案例 ， 
将 真实 场景 与 配置 实例 紧密 结合 ， 使 读者 能 够 更 快速 、 更 直观 、 更 深刻 地 掌握 HCNA 所 需 的 知识 ， 
提高 操作 技能 ， 增 强 实战 经 验 。 本 书 主要 内 容 包 括 eNSP 使 用 说 明 、VRP 基础 操作 、 二 层 交 换 技术 
和 三 层 路 由 技术 等 ,特别 适合 于 正在 学 习 HCNA 或 者 想 进一步 提高 对 网 络 知识 的 理解 及 实际 操作 技 


能 的 读者 。 
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华为 认证 简介 


华为 认证 是 华为 技术 有 限 公司 凭借 多 年 信息 通信 技术 人 才 培 养 经 验 ， 以 及 对 行业 发 
展 的 深刻 理解 ， 基 于 ICT (InformationCommunicationTechnology， 信 息 通 信 技 术 〉 产业 
链 人 才 个 人 职业 发 展 生命 周 期 ， 搭 载 华 为 “ 云 一 管 一 端 ” 融 合 技术 ， 推 出 的 覆盖 IP、IT、 
CT 以 及 ICT 融合 技术 领域 的 认证 体系 ， 是 业界 唯一 的 ICT 全 技术 领域 认证 体系 。 

华为 技术 有 限 公 司 经 过 20 多 年 在 ICT 行业 培训 和 认证 领域 的 积累 ， 已 经 在 全 球形 
成 了 完整 的 培训 认证 体系 ， 包 括 自 有 的 培训 中 心 、 授 权 的 培训 中 心 以 及 与 高 校 合作 的 教 
育 项 目 ， 累 计 参 加 华为 培训 的 人 次 已 超过 300 万 ， 培 训 与 考试 服务 覆盖 160 多 个 国家 ， 
平均 每 天 有 请 250 名 学 员 在 全 球 各 地 接受 华为 的 技术 培训 。 

对 行业 不 同 领域 的 人 才 ， 华 为 均 有 与 之 匹配 的 知识 和 技能 培养 解决 方案 ， 对 其 进行 
准确 合理 的 能 力 评估 。 针 对 个 人 的 职业 发 展 历程 ， 华 为 提供 从 工程 师 到 资深 工程 师 、 到 
专家 、 到 架构 师 ， 从 单一 的 技术 领域 到 ICT 融合 的 职业 认证 ;针对 华为 的 合作 伙伴 ， 基 
于 不 同 岗 位 ， 提 供销 售 专家 、 解 决 方案 专家 、 售 后 专家 等 专业 认证 。 

要 全 面 了 解 华为 认证 培训 相关 信息 ， 请 访问 华为 培训 认证 主页 (httpysupporthuawei.coryleaming)。 

要 了 解 华 为 认证 最 新 动态 , 请 关注 华为 认证 官方 微 博 (http://e.weibo.com/hwcertification)。 

通过 华为 官方 论坛 链接 (http://support.huawei.com/ecommunity/bbs) 点 击 进入 华为 认 
证 版 块 (华为 职业 认证 包含 的 内 容 如 图 1 所 示 ) 可 以 和 广大 用 户 一 起 进行 技术 问题 的 探 
讨 ， 以 及 考试 学 习 资料 的 分 享 。 
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图 1 华为 职业 认证 的 内 容 
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华为 路 由 交换 产品 介绍 


AR 系列 路 由 器 


2011 年 ， 华 为 技术 有 限 公司 发 布 了 第 三 代 企业 接 入 路 由 器 AR G3 系列 。 该 系列 采 
用 多 核 CPU 及 大 容量 交换 网 ， 是 集 安全 、 语 音 、 互 联 、 无 线 于 一 体 的 多 业务 的 企业 路 由 
器 ， 并 通过 了 北美 权威 机 构 的 评测 ， 性 能 是 业界 水 平 的 2 倍 以 上 ， 从 根本 上 为 企业 多 业 
务 环境 的 优质 体验 提供 了 保证 。 

AR G3 系列 企业 路 由 器 一 般 位 于 企业 内 部 与 外 部 网 络 的 连接 处 ， 是 内 部 与 外 部 网 络 
之 间 数 据 流 的 唯一 出 入 口 ， 能 将 多 种 业务 部 署 在 同一 设备 上 ， 极 大 地 降低 了 企业 网 络 建 
设 的 初期 投资 与 长 期 运 维 成 本 。 用户 可 以 根据 企业 用 户 规模 选择 不 同 规格 的 AR G3 路 由 
器 作为 出 口 网 关 设 备 。AR 系列 路 由 器 如 图 2 所 示 。 






AR3260 Pp 










总 部 (150 一 500 人 ) 


AR2201-48FE AR2204 AR2220/AR2220-S AR2220L AR2240 


AR1220/AR1220-S AR1220L AR1220V AR1220W/AR1220VW 


小 型 分 支 (10 一 50 人 ) AR151 ARI5IG-HSPA+7 ”AR151W-P AR157W AR157VW 


AR 


AR207/AR207-S AR207V/207Y-P AR207G-HSPA+7 AR201VW-P AR207VW 
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中 型 分 支 (50 一 150 人 ) 











SOHO (3 一 10 人 ) 


Sx700 系列 交换 机 


华为 技术 有 限 公 司 于 2010 年 6 月 推出 面向 企业 网 络 的 Sx700 系列 交换 机 。Sx700 系 
列 交 换 机 在 提供 高 带宽 、 高 性 能 服务 的 基础 上 ， 融 合 了 可 靠 、 安 全、 绿色 环保 等 先进 技 
术 ， 有 具备 强大 的 扩展 性 ， 满 足 企业 网 络 的 持续 演进 需求 。 在 提高 用 户 生 产 效 率 的 同时 ， 
保证 了 网 络 最 大 正常 运行 时 间 ， 从 而 降低 用 户 的 总 拥有 成 本 。Sx700 系列 交换 机 基于 新 
一 代 高 性 能 硬件 和 统一 的 VRP 平台 , 主要 解决 局 域 网 络 的 部 署 和 建设 , 以 及 数据 中 心 的 
接 入 应 用 。 在 资质 和 认证 方面 ， 华 为 交换 机 在 基本 功能 、 节 能 减 排 、 可 靠 性 、 互 通 性 等 


华为 路 由 交换 产品 介绍 3 


了 北美 权威 评测 机 构 的 全 方位 测试 和 认证 , 是 业界 不 可 多 得 的 高 性 价 比 网 络 产品 。Sx700 


系列 交换 机 如 图 3 所 示 。 


S5700-24TP-SI S5700-24TP-PWR-=SI S5700-48TP-SIT 
ME RE SE Sn 
本 wese wo Sos We) | 








企业 网 汇聚 层 
S3700-28TP=PER-EI 国 S3700.28TP-EI-24S-AC 国 SS3700-52P-SLAC 
站 
”系列 交换 机 ee re c= 
机 sm 本 人 本 PT 
企业 网 接 入 
3 ”Sx700 系列 交换 机 
企业 网 络 解决 方案 


企业 网 络 的 构建 可 根据 企业 本 身 的 规模 大 小 选择 不 同 的 解决 方案 。 例 如 ， 一 个 小 型 
分 支 机构 , 可 使 用 S3700 作为 接 入 层 交 换 机 直接 连接 到 作为 网 络 出 口 的 AR 系列 路 由 器 。 
大 中 型 企业 网 络 通常 需要 分 层 设 计 ， 接 入 层 可 部 署 S3700 交换 机 ， 实 现 对 不 同类 型 用 户 
终端 的 接 入 ; 汇聚 层 可 采用 S5700 交换 机 ， 下 行 通过 千 光 接口 连接 接 入 交换 机 ， 上 行 通 
过 万 兆 光 口 连 接 核心 层 路 由 器 ;核心 层 可 根据 需求 选择 不 同 规格 的 AR 路 由 器 作为 核心 
层 设 备 。 

华为 数 通 产品 企业 网 络 解决 方案 场景 如 图 4 所 示 。 





图 4 华为 数 通 产品 企业 网 络 解决 方案 场 最 
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eNSP 介绍 


eNSP 简介 


eNSP (Enterprise Network Simulation Platform) 是 一 款 由 
华为 自主 开发 的 、 免 费 的 、 可 扩展 的 、 图 形 化 操作 的 网 络 仿真 
工具 平台 ， 主 要 对 企业 网 络 路 由 器 、 交 换 机 及 相关 物理 设备 进 
行 软件 仿真 ， 完 美 呈现 真实 设备 实景 ， 支 持 大 型 网 络 模拟 ， 可 
让 广大 用 户 能 够 在 没有 真实 设备 的 情况 下 模拟 演练 ， 学 习 网 络 
技术 。 

针对 越 来 越 多 的 ICT 从 业者 对 真实 网 络 设 备 模拟 的 需求 ，eNSP 企业 网 络 仿真 平 
台 拥 有 着 仿真 程度 高 、 更 新 及 时 、 界 面 友 好 、 操 作 方 便 等 特点 。 这 款 仿 真 软件 运行 的 
是 与 真实 设备 同样 的 VRP 操作 系统 ， 能 够 最 大 程度 地 模拟 真实 设备 环境 。 用 户 可 以 
利用 eNSP 模拟 工程 开局 与 网 络 测试 ， 高 效 地 构建 企业 优质 的 ICT 网 络 。eNSP 支持 
与 真实 设备 对 接 , 以 及 数据 包 的 实时 抓 取 , 可 以 帮助 用 户 深 刻 理解 网 络 协 议 的 运行 原 
理 ， 协 助 进行 网 络 技术 的 钻研 和 探索 。 另 外 ， 用 户 还 可 以 利用 eNSP 模拟 华为 认证 相 
关 实 验 (HCNA、HCNP-R&S、HCIE-R&S 等 )， 能 更 轻松 地 获得 华为 认证 ， 成 就 技 
术 专 家 之 路 。 

eNSP 的 免费 发 布 ， 将 为 用 户 提 供 近 距离 体验 华为 设备 的 机 会 。 无 论 是 操作 数 通 产 
品 、 维护 现 网 的 技术 工程 师 ， 还 是 教授 网 络 技术 的 培训 讲师 , 或 者 是 想 要 获得 华为 认证 ， 
获得 能 力 认 可 的 在 校 学 生 ， 相 信 都 可 以 从 eNSP 中 受益 。 


eNSP 的 特点 


针对 影响 用 户 体验 的 主要 问题 ， 例 如 安装 是 否 方便 、 仿 真 度 是 否 够 高 、 是 否 可 视 化 
操作 、 是 否 可 更 新 等 ，eNSP 做 到 了 扬 各 家 之 长 ， 避 各 家 之 短 ， 给 用 户 带 来 极 佳 的 操作 
体验 ， 它 具备 以 下 几 个 特点 。 

1. 人 性 化 图 形 界面 

eNSP 全 新 的 UI 界面 如 图 5 所 示 。 图 形 化 界面 不 但 美观 ， 且 操作 时 可 轻松 上 手 ， 包 
括 拓 扑 拱 建 和 配置 设备 等 。 

2. 设备 图 形 化 直观 展示 ， 支 持 插 拔 接口 卡 

在 设备 真实 的 图 形 化 视图 下 ， 可 将 不 同 的 接口 卡 拖 搜 到 设备 空 槽 位 ， 单 击 电源 开关 
即 可 启动 或 关闭 设备 ， 使 用 户 对 设备 的 感受 更 直观 。 

3. 多 机 互联 ， 分 布 式 部 署 

最 多 可 在 4 台 服 务 器 上 部 署 200 台 左 右 的 模拟 设备 ， 并 且 实 现 互联 ， 可 以 模拟 大 型 
复杂 网 络 实验 。 
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图 5 eNSP 全 新 的 UI 界面 


4. 高 度 仿真 ， 实 景 再 现 ， 支 持 设备 功能 多 

高 度 仿真 的 二 层 转 发 ， 运 行 华为 通用 路 由 平台 VRP 系统 ， 支 持 对 路 由 器 、 交 换 
机 各 种 特性 的 仿真 和 模拟 (包括 STP/RSTP/MSTP、Mux VLAN、SEP、GVRP 等 各 种 
协议 )， 提 供 AR 全 系列 仿真 款 型 ， 支持 NAT、 防 火 墙 、IPSec、SSLVPN、MQC.、 AC 
等 功能 。 

5. 不 断 增加 的 功能 特性 模拟 

随 看 真实 产品 的 升级 更 新 ， 软 件 将 支持 增加 更 多 更 新 的 功能 特性 与 之 对 应 。 用 户 发 
现任 何 问 题 都 可 以 通过 华为 support-e 官网 论坛 进行 问题 反馈 ,华为 技术 有 限 公司 有 专人 
负责 技术 支持 和 疑问 解答 ， 亦 可 通过 邮箱 eNetwork_tools@huawei.com 进行 反馈 ， 反 馈 
的 问题 和 建议 将 通过 后 续 月 度 版 本 予以 快速 响应 。 

6. 完全 免费 

软件 完全 免费 ,面向 所 有 人 和 群 开放 下 载 ， 用 户 可 登录 http://enterprise.huawei.com/cn/ 
华为 官方 网 站 进行 下 载 。 
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使 用 说 明 


本 书 基 于 的 eNSP 软件 版 本 为 V100R002C00B210， 请 读者 于 官网 上 对 应 下 载 使 用 ， 
以 避免 因 使 用 软件 版 本 不 符 而 造成 实际 实验 操作 与 书 中 内 容 不 一 致 。 

受 篇 幅 所 限 ， 在 本 书 的 实验 现象 输出 命令 中 ， 凡 是 不 与 实验 主题 相关 的 部 分 都 以 省 
略 号 Miseapn 2 替代 。 

另外 ， 实 验 常 用 的 设备 接口 在 正文 中 以 缩 略 词 表 示 ， 如 Ethernet 0/0/0 以 EE 0/0/0 表 
示 ; Gigabit Ethernet 0/0/0 以 GE 0/0/0 表示 ; Serial 0/0/0 以 $ 0/0/0 表示 。 

本 书 中 每 个 实验 的 拓扑 图 、 思 考题 答案 及 最 终 配 置 都 以 电子 文件 形式 在 网 页 上 提 
供 免费 下 载 , 详情 请 访问 华为 官方 论坛 链接 (http://support.huawei.com/ecommunity/bbs) 
点 击 进 入 华为 认证 版 块 (二 维 码 如 图 6 所 示 ); 或 者 访问 泰克 网 络 实验 室 官方 网 站 中 的 
华为 版 块 〈 二 维 码 如 图 7 所 示 ) 链接 (http://www.tech-lab.cn/huawei)。 
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作为 全 球 领 先 的 信息 与 通信 和 解决 方案 供应 商 ， 华 为 以 “丰富 人 们 的 沟通 和 生活 ”为 
愿景 ， 利 用 在 ICT 领域 的 专业 技术 和 经 验 ， 帮 助 不 同 地 区 的 人 们 平等 、 自 由 地 接 入 到 信 
息 社 会 ， 确 保 所 有 人 都 能 享受 到 信息 和 通信 服务 的 基本 权利 ， 致 力 于 消除 数字 鸿沟 。 我 
们 提倡 和 致力 于 信息 和 通信 技术 的 普及 ， 增 加 教育 机 会 并 培养 ICT 人 才 。 

为 帮助 广大 ICT 从 业 人 员 更 好 地 学 习 信息 和 网 络 技术 ， 华 为 技术 有 限 公 司 在 2012 
年 9 月 发 布 了 业界 首 款 免 费 的 企业 网 络 仿 真 软件 平台 eNSP (Enterprise Network 
Simulation Platform )。 这 款 仿真 软件 平台 主要 对 企业 网 络 路 由 器 、 交 换 机 、 防 火 墙 \WLAN 
等 网 络 设备 进行 软件 仿真 ， 有 具备 高 仿真 、 界 面 友好 、 操 作 方 便 、 版 本 更 新 及 时 等 特点 。 
eNSP 一 经 推出 就 受到 社会 的 广泛 关注 和 欢迎 ， 下 载 量 已 超过 百 万 ， 迅 速成 为 ICT 从 业 
人 员 学 习 信 息 和 网 络 技 术 的 首选 工具 。 随 着 学 习 的 深入 ， 越 来 越 多 的 ICT 从 业 人 员 希 望 
能 看 到 与 eNSP 配套 的 实验 学 习 指 南 ， 从 而 更 好 地 利用 eNSP 学 习 信息 和 网 络 技 术 ， 并 
参加 华为 认证 考试 。 

为 满足 广大 ICT 从 业者 的 学 习 需 求 ,我 们 联合 华为 授权 培训 合作 伙伴 一 一 泰克 网 络 
实验 室 ， 组 织 多 名 经 验 丰富 的 老师 编写 了 本 实验 指南 。 对 于 一 个 ICT 从 业 人 员 来 说 ， 理 
论 知识 固然 重要 ， 但 动手 实 操 能 力 更 不 可 少 。 许 多 仅仅 从 书本 上 学 习 信息 和 网 络 技术 原 
理 的 ICT 从 业 人 员 , 在 面 对 真实 的 组 网 时 往往 会 无 所 适 从 。 本 书 最 大 的 特点 是 依据 HCNA 
的 知识 点 ， 基 于 eNSP 搭建 企业 网 络 真实 场景 ， 配 置 案例 系统 丰富 ， 实 验 步骤 细致 严谨 ， 
文字 描述 详实 准确 。 

这 是 “华为 ICT 认证 系列 丛书” 中 一 本 不 可 多 得 的 实验 学 习 指 南 ， 希 望 它 能 够 帮助 广 
大 读者 不 断 积累 实 战 经 验 ， 同 时 系统 地 梳理 和 巩固 书本 上 所 学 的 技术 理论 知识 ， 使 得 理论 
与 实战 相得益彰 ， 从 而 进一步 帮助 读者 成 为 ICT 领域 的 专家 人 才 ， 在 ICT 行业 大 展 身手 ! 
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本 书 实验 包括 : “原理 概述 ”、“ 实 验 目的 ”、“ 实 验 内容 ”、“ 实 验 拓扑 ”、“ 实 
验 步 又”、“ 思 考 ” 等 模块 。 读 者 应 首先 阅读 “原理 概述 ”和 “实验 目的 ”， 了 解 本 实 
验 应 该 掌握 的 知识 和 技能 ， 再 进行 实验 操作 。 实 验 过 程 中 请 读者 仔细 阅读 “实验 步骤 ” 
中 的 说 明 ， 这 些 内 容 将 很 好 地 展示 实验 的 思路 。 最 后 的 “思考 ”模块 ， 可 以 启发 读者 进 
行进 一 步 思考 ， 使 读者 能 更 加 深刻 地 理解 相关 知识 。 

为 了 更 便于 读者 学 习 和 练习 ， 我 们 把 每 个 实验 项 目 都 做 成 了 独立 的 eNSP 实验 软件 
包 , 包括 每 个 实验 的 最 终 配 置 和 思考 题 答案 等 内 容 都 放 到 网 站 上 提供 给 读者 下 载 和 学 习 ， 
读者 可 以 在 本 书 的 “使 用 说 明 ” 中 找到 这 些 网 址 。 


适用 读者 对 象 


本 书 的 基本 定位 是 华为 HCNA 认证 的 参考 书 ， 全 方位 涵盖 了 HCNA 的 知识 点 。 本 
书 适合 于 以 下 几 类 读者 。 

@ 使 用 华为 路 由 器 和 交换 机 的 用 户 

本 书 可 帮助 用 户 更 加 熟练 地 操作 和 使 用 华为 设备 ， 加 深 对 网 络 技术 的 理解 ， 通 过 实 
验 模拟 现 网 ， 增 加 实际 项 目 经 验 。 

eICT 从 业 人 员 

本 书 可 作为 工具 用 书 ， 帮 助 ICT 从 业 人 员 熟 悉 华 为 设备 ， 具 备 快 速配 置 华为 路 由 器 
和 交换 机 的 能 力 , 掌握 相关 网 络 技术 的 应 用 。 本 书 更 有 助 于 ICT 从 业 人 员 获 取 华 为 认证 ， 
提升 在 企业 中 的 个 人 价值 。 

e 高 校 学 生 

本 书 可 作为 华为 信息 与 网 络 技术 学 院 的 实验 教材 ， 也 可 作为 计算 机 通信 等 相关 专业 
学 生 的 自学 参考 书 。 配 合 eNSP 软件 ， 本 书 可 以 帮助 学 生 快 速 地 熟悉 华为 网 络 设备 的 操 
作 ， 理 解 和 掌握 信息 和 网 络 技术 ， 使 学 生 能 更 快 地 积累 企业 网 络 实践 经 验 ， 更 早 地 获得 
华为 认证 ， 在 今后 的 职业 生涯 中 有 一 个 更 好 的 起 步 。 

e 对 信息 和 网 络 技术 感 兴趣 的 爱好 者 

本 书 可 作为 学 习 信 息 和 网 络 技术 的 参考 书籍 ， 使 爱好 者 了 解 华为 产品 和 技术 的 特 
点 ， 掌 握 华 为 产品 和 技术 的 应 用 ， 并 为 其 进一步 的 技术 研究 提供 工具 和 指导 。 


本 书 主要 内 容 

全 书 共 分 为 14 章 ， 所 有 实验 都 是 基于 eNSP 作为 实验 工具 ， 按 照 HCNA 的 知识 点 
进行 设计 。 

第 1 章 : eNSP 及 VRP 基础 操作 

本 章 介 绍 了 eNSP 软件 的 基本 操作 方法 、 华 为 VRP 通用 路 由 平台 的 基本 操作 方法 、 
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IP 基础 配置 、Telnet、Stelnet、FTP 的 操作 实例 。 

第 2 章 : 交换 机 基础 配置 

本 章 介 绍 了 华为 交换 机 的 基本 配置 方法 ， 给 出 了 ARP、ARP proxy 的 配置 实例 。 

第 3 章 : VLAN 

本 章 给 出 了 VLAN 的 Access 接口 、Trunk 接口 、Hybird 接口 的 配置 实例 ， 以 及 分 别 
通过 单 臂 路 由 和 三 层 交 换 机 实现 VLAN 间 通 信 的 配置 实例 。 

第 4 章 : 生成 树 

本 章 给 出 了 STP 的 配置 实例 ,并 详细 介绍 了 STP 的 选举 规则 和 定时 器 ,给 出 了 RSTP 
和 MSTP 的 基础 配置 实例 。 

第 5 章 : 其 他 交换 技术 

本 章 给 出 了 GVRP、Smart-Link 与 Monitor-Link、Eth-trunk 的 配置 实例 。 

第 6 章 : 静态 路 由 

本 章 给 出 了 静态 路 由 和 默认 路 由 的 配置 实例 ， 并 在 此 基础 上 给 出 了 浮动 静态 路 由 和 
负载 均衡 的 配置 实例 。 

第 7 章 : RIP 

本 章 以 RIP 路 由 协议 为 主题 ， 给 出 了 包括 基本 配置 、 认 证 、 汇 总 、 版 本 兼容 、 故 障 
排除 等 多 方面 特性 的 配置 实例 。 

第 8 章 : OSPF 

本 章 以 OSPF 路 由 协议 为 主题 ， 给 出 了 包括 单 区 域 配 置 、 多 区 域 配置 、 认 证 、 被 动 
接口 等 多 方面 特性 的 配置 实例 。 

第 9 章 : VRRP 

本 章 给 出 了 VRRP 的 基本 配置 、 多 备份 组 、 跟 踪 接 口 及 认证 的 配置 实例 。 

第 10 章 : 基础 过 滤 工 具 

本 章 给 出 了 常用 过 滤 工 具 、 基 本 的 访问 控制 列表 、 高 级 的 访问 控制 列表 及 前 缀 列表 
的 配置 实例 。 

第 11 章 : 广域网 

本 章 介 绍 了 HDLC 和 PPP 的 基础 配置 方法 , 给 出 了 PAP 和 CHAP 认证 的 配置 实例 ， 
介绍 了 帧 中 继 的 基础 配置 方法 ， 给 出 了 帧 中 继 网 络 中 OSPF 协议 的 配置 实例 。 

第 12 章 : DHCP 

本 章 给 出 了 基础 全 局 地 址 池 和 基础 接口 地 址 池 的 DHCP 配置 实例 ， 同 时 也 给 出 了 
DHCP 中 继 的 配置 实例 。 

第 13 章 : IPv6 

本 章 介绍 了 IPv6 地 址 的 基础 配置 , 给 出 了 RIPng 路 由 协议 和 OSPFv3 路 由 协议 的 配 
置 实例 。 

第 14 章 : 其 他 特性 

本 章 介 绍 了 SNMP 协议 的 基础 配置 ,给 出 了 GRE 协议 的 配置 实例 ,给 出 了 使 用 eNSP 
软件 与 真实 PC 进行 桥接 的 方法 示例 ， 以 及 NAT 技术 的 配置 实例 。 
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1.1 认识 eNSP 


原理 概述 


eNSP 作为 一 款 网 络 仿真 工具 平台 ， 可 模拟 华为 企业 级 路 由 器 和 交换 机 的 大 部 分 特 
性 ， 可 模拟 PC 终端 、 集 线 器 、 网 络 云 、 帧 中 继 交 换 机 等 。 通 过 仿真 设备 配置 功能 ， 用 
户 可 以 快速 学 习 华 为 命令 行 ， 可 通过 真实 网 卡 实现 与 真实 网 络 设备 的 对 接 ， 并 且 还 可 以 
模拟 接口 抓 包 ， 直 观感 受 各 种 协议 的 报 文 交互 过 程 。 

eNSP 使 用 图 形 化 操作 界面 ， 支 持 拓扑 创建 、 修 改 、 删 除 、 保 存 等 操作 ; 支持 设备 
拖 搜 、 接 口 连 线 操作 ， 通 过 不 同 颜色 直观 反映 设备 与 接口 的 运行 状态 。eNSP 还 预 置 了 
大 量 工程 案例 ， 可 直接 打开 演练 学 习 。 

eNSP 支持 单机 版 本 和 多 机 版 本 ， 单 机 部 署 指 只 在 一 台 主 机 上 完成 组 网 ， 多 机 部 署 
指 Server 端 分 布 式 部 署 在 多 台 服 务 器 上 。 多 机 组 网 场景 最 大 可 模拟 200 台 设 备 组 网 规模 。 

华为 完全 免费 对 外 开放 eNSP， 直 接 下 载 安装 即 可 使 用 ， 无 需 申 请 license。 初 学 者 、 
专业 人 员 、 学 生 、 讲 师 、 技 术 人 员 均 能 免费 使 用 。 


实验 目的 


e 认识 eNSP 

e 掌握 eNSP 的 安装 方法 

e 了 解 sNSP 的 各 种 功能 

。 掌握 运用 eNSP 搭建 网 络 拓扑 并 进行 实验 的 操作 方法 


实验 内 容 


本 实验 将 从 安装 eNSP 开始 ， 全 方位 介绍 eNSP 的 功能 ， 包 括 eNSP 软件 的 主 界面 、 
各 工具 栏 的 使 用 方法 、eNSP 所 支持 的 网 络 设备 以 及 如 何 灵 活 地 使 用 这 些 设 备 搭建 网 络 
拓扑 图 ， 模 拟 现实 组 网 。 


实验 步骤 


1. 安装 eNSP 

不 管 是 学 习 网 络 知识 还 是 用 于 复 现 现 网 问题 或 项 目 交 付 前 的 预 模 拟 等 ， 都 需要 模拟 
组 网 验证 。 但 现实 中 往往 缺少 真实 设备 ， 而 通过 eNSP 可 以 很 方便 地 组 建 虚拟 网 络 ， 模 
拟 现实 网 络 环境 进行 实验 。 

在 华为 官方 网 站 (http://enterprise.huawei.com) 上 可 以 下 载 到 最 新 版 本 的 eNSP 安装 包 。 
由 于 eNSP 上 每 台 虚 拟 设备 都 要 占用 一 定 的 内 存 资源 ， 所 以 eNSP 对 系统 的 最 低 配 置 要 求 
为 : CPU 双核 2.0GHz 或 以 上 ， 内 存 2GB， 空 闲 磁盘 空间 2GB， 操作 系 统 为 Windows XP、 
Windows Server 2003 或 Windows 7, 在 最 低 配 置 的 系统 环境 下 组 网 设备 最 大 数量 为 10 合 。 

安装 eNSP 前 请 先 检查 系统 配置 ， 确 认 满足 最 低 配 置 后 再 进行 安装 ， 步 骤 如 下 。 

步骤 1: 双击 安装 程序 文件 ， 打 开 安 装 向 导 。 

步骤 2: 在 “选择 安装 语言 ”对 话 框 中 选择 “中 文 (简体 )”， 单 击 “ 确 定 ” 按 钮 ， 
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如 图 1-1 所 示 。 





选择 安装 语言 ” x| 
em 选择 在 安装 期 本 需要 使 用 的 语言 
2 

[ 汪 TS 坝 9 





图 1-1 选择 安装 语言 
步骤 3: 进入 欢迎 界面 ， 单 击 “ 下 一 步 CN)” 按 钮 ， 如 图 1-2 所 示 。 
志 安 装 - egSP 和 lal xl 





欢迎 使 用 Enterprise Network 
Simulation Platform (eNSP) 安装 向 导 






现在 将 要 把 eNSP V1.2.00200 安装 到 您 的 电脑 中 。 








建议 在 继续 之 前 关闭 其 它 所 有 正在 运行 的 应 用 程序 。 
单 击 [下 一 步 ] 继 续 ; 要 退出 安装 ， 语 单 击 取消 } 





图 1-2 ”欢迎 界面 


步骤 4: 设置 安装 的 目录 (整个 目录 路 径 都 不 能 包含 非 英文 字符 ) 单 击 “ 下 一 步 (N)” 
按钮 ， 如 图 1-3 所 示 。 





选择 目标 位 置 mn 
格 要 把 sh5P 安装 在 哪里 。 全 


__】 安装 程序 将要 殷 eN5P 安装 到 以 下 文件 到 中。 
单 击 [下 一 步 ] 雏 续 。 如 果 你 想 要 光 择 不 同 的 六 件 光 请 单 洁 岗 响 ) 


Di\eNSPNeNSA| 浏览 旧 ) | 


完成 安装 至 少 希 要 768.2MB 的 可 用 磁盘 空间 ， 


《上 一 步 四 取消 | 





图 1-3 选择 安装 位 置 
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步骤 5: 设置 eNSP 程序 快捷 方式 在 开始 菜单 中 显示 的 名 称 ， 单 击 “ 下 一 步 CN)” 
按钮 ， 如 图 1-4 所 示 。 






1-4 选择 开始 菜单 文件 来 


步骤 6: 选择 是 否 要 在 桌面 创建 快捷 方式 ， 单 击 “ 下 一 步 CN)” 按 钮 ， 如 图 1-5 
所 示 。 








1-5 选择 创建 桌面 快捷 方式 


步骤 7: 选择 需 安装 的 软件 ， 注 意 :首次 安装 请 选择 安装 全 部 软件 ， 单 击 “ 下 一 步 
(N)” 按 钮 ， 如 图 1-6 所 示 。 
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选 笃 安装 其 地 程序 同 
eNSF 的 使 用 需要 WinPcap、Wireshark 和 VirtualBo; 的 支持 会 | 
PE 如 果 未 安装 WinPcap， 


SP 将 无 法 正 
系统 检测 到 您 已 安装 WinPcap。 
忆 安装 WinPcap 4.1.2 


eNSF 的 抓 包 功 能 需要 Wieshalk 支 持 。 
系统 检测 到 您 已 安装 Wireshak。 


刻 安装 Wireshark 

eNSP 的 路 由 器 系列 两 要 Virtual8o; 的 支持 ， 如 果 未 安装 VirtualBox， 
路 由 器 设备 将 无 法 使 用 。 

i mee mii 


注 : 请 不 要 Viua8o@ 半 在 包 外 于 和 的 目录 由。 ~ 





< 上 一 步 (8] 取消 | 





图 1-6 选择 安装 其 他 程序 
步骤 8: 确认 安装 信息 后 ， 单 击 “ 安 装 〈I)” 按 钮 开始 安装 ， 如 图 1-7 所 示 。 





3 引 GfX| 
准备 安装 沿 
现在 准备 开始 往 您 的 电脑 中 安装 eNSP。 ke 











图 1-7 准备 安装 


步骤 9: 安装 完成 后 ， 若 不 希望 立刻 打开 程序 ， 可 取消 选中 “运行 eNSP” 复 选 框 。 
单 击 “完成 (F)” 按 钮 结束 安装 ， 如 图 1-8 所 示 。 
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和 四 加 | 用 4 
正在 完成 eNSP 安装 向 导 


eNSP 已 成 功 地 安装 到 您 的 电脑 中 。 







此 应 用 程序 可 以 通过 选择 已 安装 的 快捷 图 标 来 运行 。 
单 击 斋 成 ] 结 束 安装 。 

区 后 行 eN5SR 
克 显示 更 新 日 志 


图 1-8 ”安装 完成 


熟悉 eNSP 界面 


启动 eNSP 模拟 器 ， 可 以 看 到 其 主 界 面 ， 如 图 1-9 所 示 。 








&eNSp 3 A si TE x 


© ou 
人 Eheneom/ oF RL SEO 
Loopback: 10.0.1.124 © Hheneoo/y #3 RY GEOMD 
CE © thendon/ fy RIGEOOD 
RI1 RR 成 Ricow aeool 
人 SEO 00 CLOUDL Ehemet 0 目 
GE 0/0/0 @ Ricom wou 
章 9EQRAN 49 CLOUDL Bhenet 00/3 


号 RICcoMm xc3| 


Ethemrmet 0/0/1 @ GAY cLoUpLEhenaonr 目 


R3 
Loopback: 10.0.2.2/24 Loopback: 10.0.3.3/24 





图 1-9 eNSP 主 界面 


eNSP 主 界面 分 为 五 大 区 域 。 区 域 1 是 主 菜单 ， 提 供 “ 文 件 ”“ 编 辑 ”、“ 视 图 ”“ 工 
具 ” “帮助 ”菜单 ， 它 们 的 作用 如 下 。 


“文件 ”菜单 用 于 拓扑 图 文件 的 打开 、 新 建 、 保 存 、 打 印 等 操作 。 

“编辑 ”菜单 用 于 撤销 、 恢 复 、 复 制 、 粘 贴 等 操作 。 

“视图 ”菜单 用 于 对 拓扑 图 进行 缩放 和 控制 左右 侧 工具 栏 区 的 显示 。 

“工具 ”菜单 用 于 打开 调 色 板 工 具 添 加 图 形 、 启 动 或 停止 设备 、 进 行 数据 抓 包 和 
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各 选项 的 设置 。 
田 “帮助 ”菜单 用 于 查看 帮助 文档 、 检 测 是 否 有 可 用 更 新 、 查 看 软件 版 本 和 版 权 信息 。 
国 进入 工具 菜单 , 选择 “选项 ”命令 , 在 弹出 的 “选项 ”对 话 框 中 设置 软件 的 参数 ， 
如 图 1-10 所 示 。 








:名 选项 ai 





本 和 EE 


自 定义 界面 
语言 : | 中文 。” ”到 〈 弘 及 语言 后 请 重 BeNsP ) 
设备 标签 同 格 
全 显示 设备 标 答 厂 显示 网 格 。 后 目 动 对 齐 
厂 显示 设备 型 号 网 格 大 小 ; |100 
厂 总 显示 接口 标签 ( 建议 范围 : 80-1000) 


[ 显示 背景 厂 背景 拉 伸 


[| le 


后 置顶 明示 1 


工作 区 域 大 个 
工作 区 域 宽度 ( 建议 2000 》 


工作 区 域 长 度 ( 建议 2000 ) 


兢 定 





国 在 “界面 设置 ”选项 卡 中 可 以 设置 拓扑 中 的 元 素 显 示 效 果 ， 比 如 是 否 显示 设备 
标签 和 型 号 、 是 否 显示 背景 图 等 ， 还 可 设置 “工作 区 域 大 小 ”， 即 设置 工作 区 的 宽度 和 
长 度 。 

国 在 “CLI 设置 ”选项 卡 中 设置 命令 行 中 信息 保存 方式 。 当 选中 “记录 日 志 ” 时 ， 
设置 命令 行 的 显示 行 数 和 保存 位 置 。 当 命令 行 界面 内 容 行 数 超过 “显示 行 数 ” 中 的 设置 
值 时 ， 系 统 将 自动 保存 超过 行 数 的 内 容 到 “保存 路 径 ” 中 指定 的 位 置 。 

国 在 “字体 设置 ”选项 卡 中 可 以 设置 命令 行 界面 和 拓扑 描述 框 的 字体 、 字 体 颜 色 、 
背景 色 等 参数 。 

国 在 “服务 器 设置 ”选项 卡 中 可 以 设置 服务 器 端 参数 ， 详 细 信息 请 参考 帮助 文档 。 

加 在 “工具 设置 ”选项 卡 中 可 以 指定 “引用 工具 ”的 具体 路 径 。 

区 域 2 是 工具 栏 ， 提 供 常用 的 工具 〈 见 表 1-1)， 如 新 建 拓扑 、 打 印 等 。 

表 1-1 工具 栏 常用 图 标 说 明 

简要 说 明 


调 色 板 ， 可 编辑 添加 各 种 图 形 





简要 说 明 


油 
tt 


打印 拓扑 
撤销 上 次 操作 
重复 上 次 操作 
恢复 鼠标 
选 定 工 作 区 ， 便 于 移 
删除 对 象 
删除 所 有 连 线 
华为 论坛 链接 
选项 设置 


动 


水 | 同 辐 员 臣 大半 芝 区 而 | 
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( 续 表 ) 

简要 说 明 

Ke 缩小 

恢复 原 大 小 
启动 设备 
停止 设备 
采集 数据 报 文 
硬 时 显示 /隐藏 所 有 接口 名 称 
显示 网 格 
打开 拓扑 中 所 有 路 由 器 和 交换 机 的 命令 行 界面 
华为 官网 链接 
帮助 文档 


在 工具 栏 区 域 最 右边 有 4 个 按钮 ， 第 1 个 是 华为 论坛 的 链接 按钮 ， 点 击 后 可 进入 华 
为 官方 论坛 ， 进 行 各 种 提问 和 参与 讨论 ， 第 2 个 是 华为 官网 的 链接 按钮 ; 第 3 个 是 “ 设 
置 ” 按 钮 ， 可 进行 界面 的 设置 、 字 体 的 设置 等 ， 与 “工具 ”菜单 中 的 “选项 ”一 致 ， 第 
4 个 是 “帮助 文档 ”按钮 ， 其 中 详细 介绍 了 当前 版 本 的 eNSP 支持 的 所 有 设备 特性 、 各 
种 功能 以 及 如 何 配置 服务 器 和 用 户 端 等 。 

区 域 3 是 网 络 设备 区 ， 提 供 设 备 和 网 线 ， 如 图 1-11 所 示 。 每 种 设备 都 有 不 同型 号 ， 比 
如 点 击 路 由 器 图 标 ， 设备 型 号 区 将 提供 AR1220、AR2220 等 各 种 路 由 器 ， 供 选择 到 工作 区 。 





-图 1-11 网 络 设 备 选择 区 


区 域 4 是 工作 区 ， 在 此 区 域 可 以 灵活 创建 网 络 拓扑 ， 如 图 1-12 所 示 。 








AR1 AR2 AR3 


GE 0/0/0 重量 GE 0/0/1 和 
民 GE 0/0/0 GE 0/0/1 


GE 0/0/1 GE 0/0/2 GE 0/0/0 









GE 0/0/1 GE 0/0/2 Ethernet 0/0/0 


LSW2 Server 
GE 0/0/2 GE 0/0/1 


Ethernet 0/0/1 





Ethernet 0/0/1 


图 1-12 工作 区 
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区 域 5 是 设备 接口 区 ， 显 示 拓 扑 中 的 设备 和 设备 已 连接 的 接口 ， 可 以 通过 观察 指示 
灯 了 解 接口 运行 状态 ， 如 图 1-13 所 示 。 浅 灰色 表示 设备 未 启动 或 接口 处 于 物理 DOWN 
状态 ， 深 灰色 表示 设备 已 启动 或 接口 处 于 物理 UP 状态 ， 黑色 表示 接口 正在 采集 报 文 。 
在 处 于 物理 UP 状态 的 接口 名 上 单 击 鼠标 右键 ， 可 启动 /停止 接口 报 文采 集 。 

3， 网 络 设备 配置 

在 eNSP 中 ， 可 以 利用 图 形 化 界面 灵活 地 搭建 需要 的 拓扑 组 网 图 ， 其 步骤 如 下 。 

步骤 1: 选择 设备 。 主 界面 左 侧 为 可 供 选 择 的 网 络 设 备 区 ， 将 需要 的 设备 直接 拖 至 
工作 区 。 每 台 设 备 带 有 默认 名 称 ， 通 过 单 击 可 以 对 其 进行 修改 。 还 可 以 使 用 工具 栏 中 的 
文本 按钮 和 调 色 板 按钮 在 拓扑 中 任意 位 置 添加 描述 或 图 形 标 识 ， 如 图 1-14 所 示 。 


接口 列表 
3 ®@ ARI[COM: 2000] 
© GE 0/0/0 £3 AR2: GE 0/0/0 
© GE Ol 3 LSWI: GE 0/0/l 
4 同 AR2[COM: 2001] 
© GE 0/0/0 €> ARl1: GE 0/0/0 
© GE 0/0/1 4 AR3: GE 0/0/1 
© GE 0/0/2 €3 LSW2: GE 0/0/2 
J 入 AR3[COM: 2002] 
© GE 0/0/0 #3 CLIENT2: Ethemet 0/0/0 | 网 关 路 由 器 
@ GE 010/1 €3 AR2: GE 0/0/1 
J @ CLIENTI 
@ Ethemet 0/0/1 3 LSWI1: GE 0/0/2 
2 cuLIENT GE 0/0/0 
® Ethemet0/0/0 £3 AR3: GE 0/0/0 





小 型 公司 组 网 模拟 拓扑 


4 大 CLIENT3 Ethernet 0/0/1 

© Ethemet 0/0/1 ¢3 LSW2: GE 0/0/1 
PY Ethemet 0/0/2 SS 办、Ethemet 0/03 
© GEO/0/l €3 AR1: GE 0/0/1 ; NZ 


4 周 LSsW2[COM: 2004] 
® GEO// «> CLIENT3: Ethemet 0/0/1 


S GE 0/0/2 3 AR2: GE 0/0/2 












1-13 ”设备 接口 区 图 1-14 选择 设备 搭建 拓扑 


步骤 2: 配置 设备 。 在 拓扑 中 的 设备 图 标 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选 
择 “ 设 置 ”命令 ， 打 开设 备 接口 配置 界面 。 

在 “视图 ”选项 卡 中 ， 可 以 查看 设备 面板 及 可 供 使 用 的 接口 卡 ， 如 图 1-15 所 示 。 如 
需 为 设备 增加 接口 卡 ， 可 在 “eNSP 支持 的 接口 卡 ” 区 域 选择 合适 的 接口 卡 ， 直 接 拖 至 
上 方 的 设备 面板 上 相应 槽 位 即 可 ， 如 需 删 除 某 个 接口 卡 ， 直 接 将 设备 面板 上 的 接口 卡 拖 
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回 “eNSP 支持 的 接口 卡 ” 区 域 即 可 。 注 意 ， 只 有 在 设备 电源 关闭 的 情况 下 才能 进行 增 
加 或 删除 接口 卡 的 操作 。 





图 1-15 设备 配置 界面 

在 “配置 ”选项 卡 中 ， 可 以 设置 设备 的 串口 号 ， 串 口号 范围 在 2000~65535， 默 认 情 
况 下 从 起 始 数字 2000 开始 使 用 。 可 以 自行 更 改 串 口号 并 单 击 “ 应 用 ”按钮 生效 ， 如 图 
1-16 所 示 。 

















图 1-16 ”配置 设备 


在 模拟 PC 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “设置 ”命令 ， 打 开设 置 的 
对 话 框 。 在 “基础 配置 ”选项 卡 中 配置 设备 的 基础 参数 ， 如 IP 地 址 、 子 网 掩 码 和 MAC 
地 址 等 ， 如 图 1-17 所 示 。 


第 1 章 eNSP 及 VRP 基础 操作 个 








pr rn T Le | 
E CLIENTI | mle aX ll 
| | RE 村 二 信行 组 播 ”|| Upe 发 包工 具 | 
| 
| 主机 名 : E93 | 
| 
| MAC 地 址 : Ee-89-98-CF-0A-00 | 
| 
iPv4 配置 | 
| 他 但 六 C pHcp 隔 自动 获取 DNS 服务 器 地 址 | 1 
| JpP 地址: 1 DNS1: d 0 。 0 。H 
| 
子 网 掩 码 : [255 .255 .255 . 0 DNSZ: ss 
| 
网 关 : i EE 
1pvf 配置 
他 更 访 © DHCPv6 
ipv6 地 址 E 
| 前 级 长 度 吧 | 
IPyé 网 关 化 | 
| 
应 用 | 


图 1-17 PC 配置 界面 
在 “命令 行 ”选项 卡 中 可 以 输入 ping 命令 ， 测 试 连通 性 ， 如 图 1-18 所 示 。 
安 CLIENTO LX 


基 郁 需 ||  ” 命 信行 担 盎 “|| upP 发 包工 具 | 


>omM 巧 





图 1-18 ”PC 命令 行 


步骤 3: 设备 连接 。 根 据 设备 接口 的 不 同 可 以 灵活 选择 线 缆 的 类 型 。 当 线 缆 仅 一 端 
连接 了 设备 ， 而 此 时 希望 取消 连接 时 ， 在 工作 区 单 击 鼠 标 右键 或 者 按 <Esc> 键 即 可 。 选 
择 “Auto” 可 以 自动 识别 接口 卡 选择 相应 线 绕 。 常 见 的 如 “Copper” 为 双 绞 线 ，“ Serial” 
为 串口 线 ， 如 图 1-19 所 示 。 

步骤 4: 配置 导入 。 在 设备 未 启动 的 状态 下 ， 在 设备 上 单 击 鼠标 右键 ， 在 快捷 菜单 中 选 
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择 “导入 设备 配置 ”命令 ， 可 以 选择 设备 配置 文件 〈.cfe 或 者 .zip 格式 ) 并 导入 到 设备 中 。 
步骤 5: 设备 启动 。 选 中 需要 启动 的 设备 后 ， 可 以 通过 单 击 工具 栏 中 的 “启动 设备 ” 
按钮 或 者 选择 该 设备 的 右键 菜单 的 “启动 ”命令 来 启动 设备 ， 如 图 1-20 所 示 。 启 动 后 ， 
双击 设备 图 标 ， 通 过 弹出 的 CLI 命令 行 界面 进行 配置 。 
步骤 6: 设备 和 拓扑 保存 。 完 成 配置 后 可 以 单 击 工 具 栏 中 的 “保存 ”按钮 来 保存 拓扑 
图 , 并 导出 设备 的 配置 文件 。 在 设备 上 单 击 鼠 标 右键 , 在 快捷 菜单 中 选择 “导出 设备 配置 ” 
命令 ， 如 图 1-21 所 示 ， 输 入 设备 配置 文件 的 文件 名 ， 并 将 设备 配置 信息 导出 为 .cfg 文件 。 


四 四 | 





Auto Copper 
Serial POS 
四 四 
El ATM 本 
图 1-19 ”设备 连接 线 线 图 1-20 导入 设备 配置 图 1-21 导出 设备 配置 


4. 扩展 功能 介绍 
(1) 样 例 加 载 。 在 工具 栏 中 单 击 “打开 ”按钮 ， 可 弹出 eNSP 附带 的 验证 各 种 网 络 
协议 特性 的 典型 实验 案例 。 打 开 样 例 可 以 看 到 清晰 的 拓扑 组 网 ， 如 图 1-22 所 示 。 


eo 





loopback0:10.0.5.5/32 loopback0:10.0.3.3/32 
loopback1:10.1.5.5/24 loopback0:10.1.3.3/24 loopback0:10.0.2.2/24 


- 10.0.35.0/24 10.0.23.0/24 
人 RS B= “es = +- 是 AR2 
270/ Serial 270/ 










Serial 2/0, 中 AS 200 


10.0.12.0/24 
10.015.0/24 















4 


AS 64512 





Serial 2/0/0 








10.0.114.0/24 Ye 10.0.111.0/24 
cE 00 Cr Geo GE 0/0N 
AR4 LSW1 ARI 


loopback0:10.0.4.4/32 loopback0:10.0,11.11/32 loopback0:10.0.1.1/32 
loopback1:10.1.11.11/24 





图 1.22 样 例 拓扑 
每 个 样 例 都 包括 了 有 具体 的 实验 配置 ， 如 同一 个 配置 好 的 真实 的 网 络 环境 。 当 运行 拓扑 
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中 所 有 的 设备 后 ， 设 备 会 自动 加 载 配置 ， 用 户 便 可 以 在 这 套 模拟 环境 中 学 习 和 验证 理论 知识 。 


(2) 数据 抓 包 。 设 备 运行 时 , 在 设备 接口 处 单 击 鼠 标 右键 ,在 快捷 菜单 中 可 选择 “ 数 


据 抓 包 ” 命 令 。 通 过 抓 包 ， 用 户 可 直观 感受 到 数据 包 的 流动 ， 更 深刻 地 理解 网 络 协议 的 
原理 。 抓 包 的 相关 操作 在 后 续 实验 中 将 详细 介绍 。 

(3) 支持 与 真实 PC 进行 桥接 。 通 过 虚拟 设备 接口 与 真实 网 卡 的 绑 定 ， 实 现 虚拟 设 
备 与 真实 设备 的 对 接 。 后 续 将 有 专门 的 实验 介绍 ， 或 者 请 自行 参看 帮助 文档 。 

(4) 支持 使 用 第 三 方 软件 登录 eNSP 模拟 设备 。 在 eNSP 软件 的 接口 视图 中 ， 设 备 名 称 
后 面 会 显示 一 个 串口 号 ， 如 图 1-23 所 示 。 该 端口 号 即使 用 第 三 方 工具 时 需要 设置 的 串口 号 。 


i 
J 芒 ARI[COM: 2000] 


图 1-23 设备 串口 号 





1.2 熟悉 VRP 基本 操作 


原理 概述 


VRP (Versatile Routing Platform， 通 用 路 由 平台 ) 是 华为 公司 数据 通信 产品 的 通用 
网 络 操作 系统 平台 ， 拥 有 一 致 的 网 络 界面 、 用 户 界 面 和 管理 界面 。 在 VRP 操作 系统 中 ， 
用 户 通 过 命令 行 对 设备 下 发 各 种 命令 来 实现 对 设备 的 配置 与 日 常 维护 操作 。 

用 户 登录 到 路 由 器 后 出 现 命令 行 提 示 符 后 ， 即 进入 命令 行 接口 CLI (Command Line 
Interface)。 命 令 行 接口 是 用 户 与 路 由 器 进行 交互 的 常用 工具 。 

当 用 户 输入 命令 时 ， 如 果 不 记 得 此 命令 的 关键 字 或 参数 ， 可 以 使 用 命令 行 的 帮助 获 
取 全 部 或 部 分 关键 字 和 参数 的 提示 。 用 户 也 可 以 通过 使 用 系统 快捷 键 完 成 对 应 命令 的 输 
入 ， 简 化 操作 。 在 首次 登录 设备 时 ， 用 户 可 根据 需要 完成 设备 的 基本 配置 ， 如 设备 名 称 
的 修改 、 时 钟 的 配置 以 及 标题 文本 的 设置 等 。 


实验 目的 


。 熟 悉 VRP 的 基本 操作 

。 掌 握 命 令 行 视图 的 切换 

。 掌握 命令 行 帮助 和 快捷 键 的 使 用 

。 掌握 修 改 设备 名 称 和 设置 时 钟 的 方法 
。 掌 握 设置 标题 信息 的 方法 

。 掌握 查 看 路 由 器 基本 信息 的 方法 


实验 内 容 


本 实验 模拟 用 户 首次 使 用 VRP 操作 系统 的 过 程 。 在 登录 路 由 器 后 使 用 命令 行 来 配置 设 
备 ， 进 行 命令 行 视 图 的 切换 、 命 令 行 帮助 和 快捷 键 的 使 用 ， 并 完成 设备 的 基本 配置 ,包括 修 
改 路 由 器 名 称 、 配 置 路 由 器 时 钟 、 设 置 标 题 文 本 以 及 使 用 命令 行 查看 路 由 器 基本 信息 等 。 
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实验 拓扑 
VRP 基本 操作 的 拓扑 如 图 1-24 所 示 。 


-ra 
下 要 
队 
RI 


图 1-24 熟悉 VRP 基本 操作 拓扑 


实验 步骤 


1. 命令 视图 切换 
启动 设备 ， 登 录 设 备 成 功 后 即 进 入 用 户 视图 ， 如 图 1-25 所 示 。 

















图 1-25 设备 用 户 视图 


在 用 户 视图 下 只 能 使 用 参观 和 监控 级 命令 ， 如 使 用 display version 命令 显示 系统 软 
件 版 本 及 硬件 等 信息 。 


<Huawei>display version 

Huawei Versatile Routing Platform Software 

VRP (R) software, Version 5.130 (AR2200 V200R001C01SPC300) 
Copyright (C) 2011 HUAWEI TECH CO., LTD 

Huawei AR2220 Router uptime is 0 week, 0 day, 0 hour, 2 minutes 
BKP 0 version information: 


从 以 上 内 容 中 可 以 观察 到 VRP 操作 系统 的 版 本 、 设 备 的 型 号 和 启动 时 间 等 信息 。 
在 用 户 视图 下 使 用 system-view 命令 可 以 切换 到 系统 视图 。 在 系统 视图 下 可 以 配置 
接口 、 协 议 等 ， 使 用 quit 命令 又 可 以 切换 回 用 户 视图 。 


<Huawei>system-view 
Enter system view, return user view with Ctrl+Z. 
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[Huaweilquit 
<Huawei> 


在 系统 视图 下 使 用 相应 命令 可 进入 其 他 视图 ， 如 使 用 interface 命令 进入 接口 视图 。 
在 接口 视图 下 可 以 使 用 ip address 命令 配置 接口 耻 地 址 、 子 网 掩 码 。 

为 路 由 器 的 GE 0/0/0 接口 配置 IP 地 址 时 可 以 使 用 子 网 掩 码 长 度 ， 也 可 以 使 用 完整 
的 子 网 掩 码 ， 如 掩 码 为 255.255.255.0， 可 以 使 用 24 替代 。 


<Huawei>system-view 

Enter System view, return user view with Ctrl+Z 
[Huaweilinterface GigabitEthernet 0/0/0 
[Huawei-GigabitEthernet0/0/0]ip address 10.1.1.1 24 


配置 完成 后 ， 可 以 使 用 return 命令 直接 退回 到 用 户 视图 。 


[Huawei-GigabitEthernet0/0/0]return 
<Huawei> 


: 效 示 return 命令 可 以 使 用 户 从 任意 非 用 户 视图 退回 到 用 户 视图 , 也 可 以 用 组 合 快捷 键 
<Ctrl+Z> 完 成 。 

2. 命令 行 帮助 

如 果 用 户 忘 记 命令 的 参数 或 关键 字 ， 可 使 用 命令 行 在 线 帮 助 。 命 令 行 在 线 帮助 分 为 
完全 帮助 和 部 分 帮助 。 

(1) 完全 帮助 : 在 任意 命令 视图 下 ， 输 入 “? ”获取 该 命令 视图 下 所 有 的 命令 及 其 
简单 描述 。 

如 在 系统 视图 下 ， 输 入 “? ”获取 该 命令 视图 下 所 有 的 命令 及 其 简单 描述 。 

[Huawei]? 


System view commands: 


Aaa <Group> aaa command group 
aaa-authen-bypass Set remote authentication bypass 
aaa-author-bypass Set remote authorization bypass 
aaa-author-cmd-bypass Set remote command authorization bypass 
access-User User access 

acl Specify ACL configuration information 
alarm Alarm 


也 可 以 输入 一 个 命令 , 后 接 以 空格 分 隔 的 “?“”， 列 出 全 部 关键 字 或 参数 及 其 简单 描述 。 
如 在 系统 视图 下 ， 列 出 interface 命令 参数 及 其 简单 描述 。 


[Huaweilinterface ? 
Bridge-if Bridge-if interfac 。 
Cellular Cellular interface 
Dialer Dialer interface 
Eth-Trunk Ethernet-Trunk interface 
GigabitEthernet GigabitEthernet interface 


EE 


(2) 部 分 帮助 : 输入 一 字符 串 , 其 后 紧 接 “? ” 列 出 以 该 字符 串 开头 的 所 有 关键 字 。 
如 在 系统 视图 下 列 出 以 “rou” 字 符 串 开头 的 所 有 命令 及 其 简单 描述 。 


[Huaweilrou2 
Route Routing Module 
route-policy Route-policy 


route-policy-change Specify route policy change parameter 
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router Configure router information 


3. 快捷 键 使 用 

命令 行 接口 提供 了 基本 的 命令 编辑 功能 , 支持 多 行 编辑 , 每 条 命令 的 最 大 长 度 为 256 
个 字符 。 各 功能 键 详细 描述 如 下 : 

国 退 格 键 <BackSpace> 表 示 删 除 光 标 位 置 的 前 一 个 字符 ; 

国 左 光 标 键 < 一 > 或 <Ctrl+B> 表 示 光 标 疝 左 移 动 一 个 字符 位 置 ; 

国 右 光 标 键 < 一 > 或 <Ctrl+F> 表 示 光 标 向 右 移动 一 个 字符 位 置 ; 

国 删除 键 <Delete> 表 示 删 除 光 标 位 置 字 符 ; 

加 上 下 光标 键 <f >、< + > 表示 显示 历史 命令 ; 

男 当 用 户 输入 不 完整 的 关键 字 后 按 下 <Tab> 键 ， 系 统 自 动 执 行 部 分 帮助 ， 将 命令 补 
全 。 比 如 输入 “dis” 后 ， 按 <Tab> 键 可 以 将 命令 补 全 为 “display”。 

可 以 通过 display hotkey 命令 来 查看 已 定义 、 未 定义 和 系统 保留 的 快捷 键 的 情况 。 

4. 修改 路 由 器 名 称 

当 网 络 上 有 多 个 设备 需要 管理 时 , 用 户 可 以 为 每 个 设备 设置 特定 的 名 称 , 以 便于 管理 和 识别 。 

在 系统 视图 下 ， 使 用 sysname 命令 修改 当前 路 由 器 名 称 ， 如 更 改 当 前 路 由 器 的 系统 
名 称 为 Rl。 


[Huaweilsysname Rl1 


[R1] 

5. 设置 路 由 器 时 钟 

为 了 保证 网 络 中 的 设备 有 准确 的 时 钟 信号 ， 用 户 需 要 准确 设置 设备 的 系统 时 钟 。 

clock datetime 命令 用 于 设置 当前 时 间 和 日 期 ，clock timezone 命令 用 于 设置 所 在 的 时 区 。 

例如 : 在 用 户 视图 下 ， 使 用 clock datetime 命令 修改 系统 日 期 和 时 间 为 2011 年 9 月 
lS 2 Hi 

<Rl>clock datetime 12:00:00 2011-09-15 

例如 : 在 用 户 视图 下 ， 使 用 clock timezone 命令 ， 设 置 所 在 的 时 区 为 北京 。 


<R1>clock timezone BJ add 08:00:00 





时 需要 加 上 偏 移 量 8， 才 能 得 到 预期 的 北京 时 区 。 

6. 设置 标题 信息 

如 果 需 要 对 登录 路 由 器 的 用 户 提供 警示 或 说 明 信 息 ， 可 以 设置 登录 时 或 登录 成 功 后 
的 标题 信息 。 

使 用 header login 命令 ， 可 设置 登录 时 的 标题 文本 为 hello; 使 用 header shell 命令 ， 
可 设置 登录 成 功 后 的 标题 文本 信息 为 “Welcome to Huawei certification lab”。 


[Rillheader login information "hello" 
[Rl]header shell information "Welcome to Huawei certification lab" 


其 中 ，login 参数 为 用 户 在 登录 路 由 器 认证 过 程 中 激活 终端 连接 时 显示 的 标题 信息 ， 
是 用 户 在 连接 到 路 由 器 并 进行 登录 验证 以 及 开始 配置 时 ， 系 统 所 显示 的 一 段 提示 信息 ， 
当 需 要 为 用 户 登录 提供 明确 的 提示 信息 时 ， 可 以 使 用 此 配置 。Shell 参数 为 当 用 户 成 功 登 
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录 到 路 由 器 上 ， 已 经 建立 了 会 话 时 显示 的 标题 信息 。 
配置 完成 后 ， 尝 试 退出 路 由 器 命令 行 界面 重新 登录 ， 即 可 观察 到 欢迎 信息 。 


[Rllquit 
<R1>quit 


Configuration console exit, please retry to log on 
Password: 
Welcome to Huawei certification lab 
<R1> 
人 = Se 
:的 示 通常 情况 下 ， 登 录 标语 信息 用 于 警告 非法 登录 或 者 说 明 信 息 。 
7 查看 路 由 器 基本 信息 
使 用 display 系列 命令 可 查看 路 由 器 基本 信息 或 运行 状态 。 
使 用 display version 命令 查看 路 由 器 信息 。 


<R1>display version 

Huawei Versatile Routing Platform Software 

VRP (R) software, Version 5.130 (AR2200 V200R003C00) 
Copyright (C) 2011-2012 HUAWEI TECH CO., LID 

Huawei AR2220 Router uptime is 0 week, 0 day, 0 hour, 17 minutes 
BKP 0 version information: 


可 以 观察 到 VRP 操作 系统 的 版 本 、 设 备 的 型 号 、 启 动 时 间 等 信息 。 
使 用 display current-configuration 命令 查看 路 由 器 当前 配置 。 
<R1>display current-configuration 
[V200R003C00] 
# 

sysname RI1 

header shell information "Welcome to Huawei certification lab" 

header login information "hello" 
# 

snmp-agent local-engineid 800007DB03000000000000 

snmp-agent 


clock timezone BJ add 08:00:00 
clock daylight-saving-time Day Light Saving Time repeating 12:32 9-1 12:32 11-23 00:00 2005 2005 


eturn 
可 以 观察 到 所 有 路 由 器 的 已 配置 信息 。 
使 用 display interface GigabitEthernet 0/0/0 命令 查看 路 由 器 GE 0/0/0 接口 的 状态 信息 。 
[Rlldisplay interface GigabitEthernet 0/0/0 
GigabitEthemet0/0/0 current state : DOWN 
Line protocol current state : DOWN 
DescriptionJHUAWEIL AR Series, GigabitEthermet0/0/0 Interface 
Route Port,The Maximum Transmit Unit is 1500 
Internet Address is 10.1.1.1/24 
IP Sending Frames' Format is PKTFMT ETHNT 2, Hardware address is 00e0-fc03-3a27 


sass 


可 以 观察 到 该 接口 的 物理 状态 、 接 口 IP 地 址 以 及 其 他 的 统计 信息 。 
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1.3 ”熟悉 常用 的 IP 相关 命令 


原理 概述 


华为 设备 支持 多 种 配置 方式 ,包括 Web 界面 管理 等 。 但 作为 一 名 网 络 工程 师 ， 必 须 熟悉 使 
用 命令 行 的 方式 进行 设备 管理 。 在 工作 中 ， 对 路 由 器 和 交换 机 最 常用 的 操作 命令 就 是 他 相关 命 
令 ， 如 配置 主机 名 、 了 P 地 址 、 测 试 下 数据 包 连 通 性 等 。 这 些 命令 是 基本 的 配置 和 测试 命令 。 


实验 目的 


。 掌握 路 由 器 命名 的 方法 

。 掌握 配置 路 由 器 卫 地 址 方法 
。 掌握 测试 IP 地 址 连通 性 的 方法 
。 掌握 查看 设备 配置 的 方法 

。 掌握 抓 包 的 方法 


实验 内 容 


本 实验 模拟 简单 的 企业 网 络 场景 ， 某 公司 购买 了 新 的 路 由 器 和 交换 机 。 交 换 机 S1 
连接 客服 部 PC-1，S2 连接 市 场 部 PC-2， 路 由 器 R1 连接 S1 和 S2 两 台 交 换 机 。 网 络 管 
理 员 需要 首先 熟悉 设备 的 使 用 ， 包 括 基础 的 卫 配置 和 查看 命令 。 


实验 拓扑 
常用 的 全 相关 命令 的 拓扑 如 图 1-26 所 示 。 
Sl RI S2 
GE 0/0/2 ges GE 0/0/1 










Ethemet 0/0/1 






GE 0/0/0 


‘10,0:1.254/24 10.0.2.254/24 


GE 0/0/1 Ethernet 0/0/2 


Ethernet 0/0/1 Ethernet 0/0/1 


10.02.1724 








图 1-26 熟悉 常用 的 他 相关 命令 拓扑 


实验 编 址 
实验 编 址 见 表 1-2。 
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表 1-2 实验 编 址 


IP 地 址 子 网 挤 码 
Ethernet0/0/1 | 10.0.1.1 | 255.255.255.0 10.0.1.254 


Ethernet 0/0/1 10.0.2.1 255.255.255.0 10.0.2.254 
GE 0/0/0 10.0.1.254 255,255.255:0 
RY A GE 0/0/1 10.0.2.254 255.255.255.0 





实验 步骤 
1. 基本 配置 
根据 实验 编 址 ， 使 用 图 形 化 界面 配置 PC 的 他 地址 ， 以 客服 部 PC-1 为 例 ， 如 图 1-27 所 示 。 
EFT Tr i EE WR TW 





区 


拨 市 场 希 Pc2 pe te les al la dol 


自动 及 服 DNS 际 务 萄 协 址 











图 1-28 PC-2 配置 界面 
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配置 路 由 器 的 主机 名 ， 打 开 R1 的 命令 行 界面 ， 即 进入 用 户 视 图 。 在 用 户 视图 下 ， 
用 户 可 以 完成 查看 运行 状态 和 统计 信息 等 功能 。 此 时 屏幕 上 显示 : 

<Huawei> 

路 由 器 主机 名 为 默认 的 主机 名 Huawei。 要 更 改 主机 名 ， 必 须 使 用 进入 系统 视图 模式 。 在 系 
统 视图 下 ，system-view 命令 用 户 可 以 配置 系统 参数 以 及 通过 该 视图 进入 其 他 的 功能 配置 视图 。 

<Huawei>system-view 

[Huawei] 

这 时 图 标 由 <Huawei> 变 成 了 [Huaweil]， 表 示 进 入 了 系统 视图 模式 。 

在 系统 视图 下 ， 使 用 sysname 命令 修改 设备 主机 名 为 R1。 


[Huaweilsysname R1 


可 以 观察 到 ,主机 名 由 原来 的 [Huawei] 变 成 了 [R1], 表示 主机 名 修改 成 功 。 使 用 quit 


命令 退出 当前 模式 。 

[Rilguit 

此 时 区 1] 标 志 已 经 变 成 <R1>， 表 明 已 经 成 功 退 回 到 用 户 视图 。 在 用 户 视图 下 使 用 
save 命令 保存 当前 配置 。 

<R1>save 

这 时 会 提示 是 否 继续 保存 ， 输 入 “y” 确 认 保 存 动作 。 

<R1l>save 


The current configuration will be Written to the device. . 
Are you sure to continue? (y/n)[n]:y 
It will take several minutes to save configuration file, please wait........ 
Configuration file had been saved successfully 
Note: The configuration file will take effect after being activated 
出 现 以 上 信息 表示 保存 成 功 。 
2. 配置 路 由 器 接口 下 地 址 
从 系统 视图 进入 接口 视图 ， 在 该 视图 下 配置 接口 相关 的 物理 属性 、 链 路 层 特性 及 IP 


地 址 等 重要 参数 。 使 用 interface 命令 进入 路 由 器 相应 的 接口 视图 GE 0/0/0。 

[Rllinterface GigabitEthernet 0/0/0 

在 路 由 器 的 接口 视图 下 配置 路 由 器 接口 IP 地 址 和 掩 码 。 注意 ， 华 为 设备 上 的 物理 接 
口 默认 都 处 于 开启 状态 。 


[R1-GigabitEthemet0/0/0Jip address 10.0.1.254 255.255.255.0 
配置 完成 后 ， 使 用 display ip interface brief 命令 查看 接口 与 卫 相关 摘要 信息 。 
[Rl1-GigabitEthernet0/0/0]display ip interface brief 

*down: administratively down 

sdown: standby 

(1): loopback 

(8): spoofing 

The number of interface that is UP in Physical is 3 

The number of interface that is DOWN in Physical is 1 

The number of interface that is UP in Protocol is 2 

The number of interface that is DOWN in Protocol is 2 


Interface IP Address/Mask Physical Protocol 
GigabitEthernet0/0/0 10.0.1.254/24 up up 

GigabitEthernet0/0/1 unassigned up down 
GigabitEthernet0/0/2 unassigned down down 
NULL0 Unassigned up(s) 


可 以 观察 到 ， 路 由 器 接口 GE 0/0/0 的 人 P 地 址 已 经 配置 完成 ,“Physical” 为 UP， 即 
接口 的 物理 状态 处 于 正常 启动 的 状态 ;“Protocol” 为 UP， 即 接口 的 链 路 协议 状态 处 于 正 
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常 启动 的 状态 。 
同 理 配 置 路 由 器 GE 0/0/1 的 IP 地 址 。 如 果 在 配置 过 程 中 对 命令 非常 熟悉 ， 可 以 采 
用 简写 的 方式 配置 。 


<R1>system-View 
ERllint g0/0/1 
[Rl1-GigabitEthernet0/0/1]ip add 10.0.2.254 24 


注意 ， 即 便 是 简写 ， 也 要 保证 所 输入 的 命令 关键 字 是 唯一 的 ， 否 则 不 会 成 功 。 
如 果 忘 记 命令 , 可 以 输入 “? ”查看 相关 命令 。 如 果 输 入 命令 首部 分 , 可 以 使 用 <Tab> 
键 选 择 性 补 齐 命令 。 


[Huaweilinter? 

interface Specify the interface configuration view 
[Huaweilinter 
[Huaweilinterface 


配置 完成 后 ， 再 次 确认 接口 与 IP 相关 摘要 信息 。 


<R1>display ip interface brief 

*down: administratively down 

^down: standby ; 

(1): loopback 

(5): spoofing 

The number of interface that is UP in Physical is 3 
The number of interface that is DOWN in Physical is 1 
The number of interface that is UP in Protocol is 3 

The number of interface that is DOWN in Protocol is 1 


Interface IP Address/Mask Physical Protocol 
GigabitEthernet0/0/0 10.0.1.254/24 up up 
GigabitEthernet0/0/1 10.0.2.254/24 up up 
GigabitEthernet0/0/2 unassigned down down 
NULL0 unassigned up Up(S) 


可 以 观察 到 ， 路 由 器 GE 0/0/0 与 GE 0/0/1 的 接口 PP 地 址 已 经 配置 完成 。 物 理 接口 
工作 正常 ， 接 口 的 链 路 协议 状态 处 于 正常 启动 的 状态 。 

3. 查看 路 由 器 配置 信息 

经 过 以 上 步骤 的 配置 ， 路 由 器 接口 的 人 P 地 址 已 经 配置 完成 ， 可 以 使 用 display ip 
routing-table 命令 查看 IPv4 路 由 表 的 信息 。 

<R1>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 
Destinations : 10 Routes : 10 
Destination/MaskProtoPreCostFlagsNextHopInterface 


10.0.1.0/24 Direct 0 0 D 10.0.1.254 GigabitEthernet0/0/0 
10.0.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
10.0.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/0 
10.0.2.0/24 Direct 0 0 D 10.0.2.254 GigabitEthernet0/0/1 
10.0.2.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.0.2.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ,路 由 器 Rl 在 GE 0/0/0 接 口上 直 连 了 一 个 10.0.1.0/24 的 网 段 ,在 GE 0/0/1 
接口 上 直 连 了 一 个 10.0.2.0/24 的 网 段 。 
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其 中 ,“Route Flags” 为 路 由 标记 ,“R” 表 示 该 路 由 是 迭代 路 由 ,“D” 表 示 该 路 由 
下 发 到 FIB 表 。“Routing Tables: Public” 表 示 此 路 由 表 是 公 网 路 由 表 ， 如 果 是 私 网 路 由 
表 ， 则 显示 私 网 的 名 称 ， 如 Routing Tables: ABC。“Destinations” 表 示 目 的 网 络 /主机 的 
总 数 。“Routes” 表 示 路 由 的 总 数 。“Destination/Mask” 表 示 目 的 网 络 / 主 机 的 地 址 和 掩 码 
长 度 , “Proto” 表 示 接 收 此 路 由 的 路 由 协议 ,，“Direct” 表 示 直 连 路 由 ,“Pre” 表 示 此 路 由 
的 优先 级 ,“Cost” 表 示 此 路 由 的 路 由 开销 值 。“NextHop” 表 示 此 路 由 的 下 一 跳 地 址 ， 
“Interface” 表 示 此 路 由 下 一 跳 的 出 接口 。 使 用 Ping 命令 测试 路 由 器 RI1 与 PC 间 的 连通 
性 。 下 面 以 测试 去 往 PC-1 的 连通 性 为 例 说 明 。 
<RJI>ping 10.0.1.1 
PING 10.0.1.1: 56 data bytes, press CTRL_Cto break 
Reply from 10.0.1.1: bytes=56 Sequence=l ttl=128 time=200 ms 
Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=128 time=70 ms 
Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=128 time=40 ms 
Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=128 time=l ms 
Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=128 time=10 ms 
--- 10.0.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/64/200 ms 
若 显 示 上 述 结果 ， 则 表明 测试 连通 性 正常 。 
<Rl>ping 10.0.1.1 
PING 10.0.1.1: 56 data bytes, press CTRL C to break 
Request time out 
Request time out 
Request time out 
Request time out 
Request time out 
--- 10.0.1.1 ping statistics --- 
5 packet(s) transmitted 
0 packet(s) received 
100.00% packet loss 


车 显示 上 述 结果 ， 则 表示 连通 性 测试 失败 ， 即 R1 与 PC-1 连通 性 异常 。 

直 连 网 段 连通 性 测试 完毕 后 , 测试 非 直 连 设 备 的 连通 性 , 即 PC-1 与 PC-2 的 连通 性 。 
双击 设备 打开 配置 界面 ， 单 击 “ 命 令 行 ” 选 项 卡 。 此 命令 行 如 同 PC 的 DOS 窗口 一 样 ， 
可 执行 基本 命令 ， 如 图 1-29 所 示 。 


J || se 行 | 卉 知 | 


| Welcome to use EC Simulator! 


BC> 








1-29 PC-1 配置 界面 
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测试 PC-1 到 PC-2 间 的 连通 性 。 
PC>ping 10.0.2.1 
Ping 10.0.2.1: 32 data bytes, Press Ctrl_C to break 
From 10.0.2.1: bytes=32 seq=1 ttl=127 time=47 ms 
From 10.0.2.1: bytes=32 seq=2 ttl=127 time=47 ms 
From 10.0.2.1: bytes=32 seq=3 ttlj=127 time=47 ms 
From 10.0.2.1: bytes=32 seq=4 ttl=127 time=62 ms 
From 10.0.2.1: bytes=32 seq=5 ttl=127 time=32 ms 
-一 10.0.2.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 32/47/62 ms 


可 以 观察 到 PC-1 与 PC-2 之 间 能 正常 通信 。 

4. 使 用 抓 包 工具 

以 抓 取 R1 上 GE 0/0/0 接 口 的 数据 包 为 例 , 在 Rl 与 $1 的 直 连 链 路 上 ,在 接口 GE 0/0/0 
上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “开始 抓 包 ”命令 ， 如 图 1-30 所 示 。 


Sl RI S2 


Ethemet 0/0/2 









GE 0/0/2 
Ethernet 0/0/1 


GE 0/0/1 


图 1-30 通过 右键 菜单 选择 抓 包 
这 时 会 显示 出 解 包 的 结果 ， 如 图 1-31 所 示 。 


| 
Be La Yow op pre Fodste Telephory Toke Hop 


环 相生 | 司 和 和 A 昌 | 属国 可 革 |) 百 


Per - Epce Ce Mply 
Ne 


Te Sooree deursion Posoesl irée 
10.0000HuaweiTe 94Spanming=trSsTh MST, 
22,219CHuawe1Te_94Spanmng-trSTp MST, Roor 
34.4070HUaweiTe_945panning-trSTP MST, Roort 
46.6570HuaweiTe_94Spannmino-zrsTP MST, Root 
5 8.8440HuaweiTe_94Spanning-trSTP MST., Root 
















2! 0/4c: 1T: 
32768/0/4c:1f:ce94:0c:7¢ Cost = 
32768/0/4c:1f:ce:94:0c:7¢ Cost = 
32768/0/4#c:1f:cec:94:0c:7¢c Cost = 


坟 4 
Ch 


Port a Ox8002 
Port = Ox8002 


* Frame 1; 119 bytes on wire (952 bits), 119 bytes captured (952 bits) 
-IEEE 802.3 Ethernet 

“Logical-Link control 

"Spanning Tree protocol 


图 1-31 解 包 结果 


双击 数据 包 可 查看 详细 的 数据 包 内 容 ， 如 图 1-32 所 示 。 

如 果 不 需 要 继续 抓 包 ， 可 在 接口 的 快捷 菜单 中 选择 “停止 抓 包 ”命令 。 

用 户 还 可 以 采取 另 一 种 方式 来 抓 包 ， 效 果 相 同 。 

单 击 界面 上 方 工具 栏 中 的 “数据 抓 包 ”按钮 ， 这 时 会 出 现 当前 可 抓 取 的 接口 列表 ， 
如 图 1-33 所 示 。 
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mnFrame 39: 119 bytes on wire (952 bits), 119 bytes captured (952 
mIEEE 802.3 Ethernet 
| sDestination: Spanning-tree-(for-bridges)_00 (01:80:c2:00:00:00) 
| aSource: HuaweiTe_94:0c:7c (4c:1lf:ce:94:0c:7¢c) 
| Length: 105 
a Logical-Link Control 
DSAP: Spanning Tree BPDU (Ox42) 
IG Bit: Individual 
SSAP: Spanning Tree BPDU (Ox42) . 
CR Bit: Command 
sControl field: U, func=UI (0x03) 


| Protocol Identifier: Spanning Tree Protoco 0x0000 


Protoco]l Version Identifier: Multiple Spanning Tree (3) 
BPDU Type: Rapid/Multiple Spanning Tree (0x02) 
| aBPDU flags: Ox7c (Agreement, Forwarding, Learning, Port Role: Designated) 
aRoot Identifier; 32768 / 0 / 4c:1lf:cc:94:0c:7¢c 
Root Path Cost: 0 
sgrjdge Identifier: 32768 / 0 / 4c:1lf:cc:94:0c:7c 
Port identifier: Ox8002 
Message Age: 0 
Max Age: 20 
Hello Time; 2 
Forward Delay: 15 
Version 1 Length: 0 
Version 3 Length: 64 
| =MST Extension 


its) 


图 1-32 数据 包 详 细 内 容 





图 1-33 工具 栏 选择 抓 包 


以 抓 取 R1 上 GE 0/0/0 接口 的 数据 包 为 例 ， 在 “选择 设备 ” 栏 中 选择 “R1”， 在 “ 选 
择 接 口 ” 栏 中 选择 “GE 0/0/0”， 然 后 单 击 “ 开 始 抓 包 ”按钮 ， 如 图 1-34 所 示 。 





选择 接口 
9 GE 0/0/0 
® GE0/0/1 











开始 抓 包 “】 停止 抓 包 | 





图 1-34 抓 包 设置 界面 


这 时 会 显示 出 如 图 1-31 所 示 的 解 包 结果 。 同 样 双击 数据 包 查 看 详细 的 数据 包 内 容 。 
如 图 1-35 所 示 。 
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1 Ts ere 0 cS henniri te dor bidgenl 9 SR MST, Koy = JR7SOMD eco OFTE Coal TD por Cad 
“Frame 39: 119 byres on wire (952 bits), 119 bytes captured (952 bits) 
IEEE 802.3 Etherner 
*Destination: Spanning-tree-(for-bridges)_00 (01:80:c2:00:00:00) 
“Source: HuaweiTe_94:0c:7c (4c:1lf:cc:94:0c:7¢) 
Length: 105 
-Logical-Link control 
DSAP: Spanning Tree BPDU (0x42) 
IG Bit: Individual 
SSAP: Spanning Tree 6BPDU (0x42) 
CR Bit: Command 
“Control field: U，func=uI (0x03) 
站 后 > 可 






1) ee 
Protocol Identifier: Spanning Tree Protoco 0x0000) 
Protocol Version Identifier: Multiple Spanning Tree (3) 

BPDU Type: Rapid/Multiple Spanning Tree (0x02) 

BPDU flags: Ox7c (Agreement, Forwarding, Learning, Port Role: Designated) 
Roort Identifier: 32768 / 0 / 4c:1lf:cec:94:0c;7c 

Root Path Cost 

Bridge 和 ET 32768 / 0 / 4c:1lf:cc:94:0c;17c 

Port identifier: Ox8002 

Message Age: 0 

Max Age: 

Hello Time: 2 

Forward Delay: 15 

Version 1 Length: 0 

Vversion 3 Length: 64 
+*MST Extension 


图 1-35 ”数据 包 详细 内 容 
如 果 不 需 要 继续 抓 包 ， 单 击 “ 停 止 抓 包 ” 按 钮 即 可 。 
思考 


管理 员 要 经 常 在 路 由 器 上 使 用 display ip interface brief 命令 查看 接口 状态 ， 但 该 命 
若 完整 输入 则 较 长 ， 思 考 如 何 使 用 最 简化 且 准确 的 方式 输入 这 条 命令 ? 


1.4 配置 通过 Telnet 登录 系统 


原理 概述 


Telnet (Telecommunication Network Protocol) 起源 于 ARPANET， 是 最 早 的 Internet 
应 用 之 一 。 

Telnet 通常 用 在 远程 登录 应 用 中 ， 以 便 对 本 地 或 远 端 运行 的 网 络 设备 进行 配置 、 监 
控 和 维护 。 如 网 络 中 有 多 人 台 设 备 需要 配置 和 管理 ， 用 户 无 需 为 每 一 台 设 备 都 连接 一 个 用 
户 终端 进行 本 地 配置 ， 可 以 通过 Telnet 方式 在 一 台 设备 上 对 多 台 设 备 进行 管理 或 配置 。 
如 果 网 络 中 需要 管理 或 配置 的 设备 不 在 本 地 时 ， 也 可 以 通过 Telnet 方式 实现 对 网 络 中 设 
备 的 远程 维护 ， 极 大 地 提高 了 用 户 操作 的 灵活 性 。 


实验 目的 


e 理解 Telnet 的 应 用 场景 

。 掌握 Telnet 的 基本 配置 

e 掌握 Telnet 密码 验证 的 配置 

e 掌握 Telnet 用 户 级 别 的 修改 方法 


26 HCNA 网 络 技术 实验 指南 


实验 内 容 


本 实验 模拟 公司 网 络 场景 。 路 由 器 R1 是 公司 机 房 的 一 台 设 备 ， 公 司 员工 的 办 公 区 
与 机 房 不 在 同一 个 楼 层 ， 路 由 器 R2 和 R3 模拟 员工 主机 ， 通 过 交换 机 S1 与 机 房 设 备 相 
连 。 为 了 方便 用 户 的 管理 ， 现 需要 在 路 由 器 R1 上 配置 Telnet 使 用 户 能 在 办 公 区 远程 管 
理 机 房 设 备 。 为 了 提高 安全 性 ，Telnet 需要 使 用 密码 认证 ， 只 有 网 络 管理 员 能 对 设备 进 
行 配置 和 管理 ， 普 通用 户 仅 能 监控 设备 。 


实验 拓扑 
配置 通过 Telnet 登录 系统 的 拓扑 如 图 1-36 所 示 。 












<“ Ethernet 0/0/1 
= GE 0/0/0 二 
RI 


10.1.1.254 


图 1-36 配置 通过 Telnet 登录 系统 拓扑 


实验 编 址 


实验 编 址 见 表 1-3。 
表 1-3 实验 编 址 


人 GE | olil | 2552552550 















R1 (AR2220) 
R2 (AR2220) 
R3 (AR2220) 


10.1.1.254 
10.1.1.254 





实验 步骤 


1， 基本 配置 
根据 实验 编 址 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
这 里 以 用 户主 机 和 默认 网 关 间 的 连通 性 为 例 。 


R2>ping 10.1.1.254 
Ping 10.1.1.254: 32 data bytes, Press Ctrl_C to break 
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From 10.1.1.254: bytes=32 seq=1 ttj=255 time=47 ms 
From 10.1.1.254: bytes=32 seq=2 ttl=255 time=32 ms 
From 10.1.1.254: bytes=32 seq=3 ttl=255 time=47 ms 
From 10.1.1.254: bytes=32 seq=4 ttl=255 time=31 ms 
From 10.1,1.254: bytes=32 seq=5 ttl=255 time=31 ms 
-— 10.1.1.254 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 
round-trip min/avg/max = 30/68/120 ms 


2， 配 置 Telnet 的 密码 验证 
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为 了 方便 公司 员工 对 机 房 设 备 进行 远程 管理 和 维护 ， 首 先 需 要 在 路 由 器 上 配置 
Telnet 功能 。 为 了 提高 网 络 安全 性 ， 可 在 使 用 Telnet 时 进行 密码 认证 ， 只 有 通过 认证 的 


用 户 才 有 权限 登录 设备 。 


在 R1 上 配置 Telnet 验证 方式 为 密码 验证 方式 ， 密 码 为 huawei， 并 设置 验证 密码 以 


密 文 方式 存储 ， 在 配置 文件 中 以 加 密 的 方式 显示 密码 ， 能 够 使 密码 不 容易 被 泄露 。 


[Rlluser-interface vty 0 4 
[Rl-ui-vty0-4]authentication-mode password 


Please configure the login password (maximum length 16):huawei 


在 用 户 设 备 R2 和 R3 上 使 用 Telnet 连接 R1。 


<R2>telInet 10.1.1.254 

Trying 10.1.1.254 .…. 

Press CTRL+K to abort 

Connected to 10.1.1.254 .… 

Login authentication 

Password: 

Info: The max number of VTY users is 10, and the number 
of current VTY users on line is 1. 
The current login time is 2013-06-25 13:56:34., 

<Rl> 


<R3>tejnet 10.1.1.254 

Trying 10.1.1.254 .… 

Press CTRL+K to abort 

Connected to 10.1.1.254 .…. 

Login authentication 

Password: 

Info: The max number ofVTY users is 10, and the number 
of current VTY users on line is 1. 
The current login time is 2013-06-25 19:08:01. 

<R1> 


可 以 观察 到 R2 和 R3 在 连接 R1 的 过 程 中 ， 要 求 输入 认证 密码 ， 只 有 当 输 入 正确 的 


密码 后 才能 进入 R1 的 用 户 界面 。 


登录 成 功 后 ， 可 以 继续 使 用 display users 命令 查看 已 经 登录 的 用 户 信息 。 


[Rl]display users 
User-Intf © Delay Type Network Address 


+0 CONO 00:00:00 no Username : Unspecified 


34 VTY0 00:01:26 TEL 10.1.1.2 
sername : Unspecified 
35 VEY 00:00:30 TEL 10.1.1.1 
semame : Unspecified 


AuthorcmdFlag 
no 


no 
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3. 配置 Telnet 区 分 不 同 用 户 的 权限 

为 了 进一步 保证 网 络 的 安全 性 及 稳定 性 ， 避 人 免 员工 错误 更 改 设备 的 配置 ， 公 司 要 求 普 
通 员工 只 能 拥有 设备 的 监 探 权限， 只 有 网 络 管理 员 拥有 设备 的 配置 和 管理 权限 。 默认 情况 
下 ，VTY 用 户 界面 的 用 户 级 别 为 0 参观 级 )， 只 能 使 用 ping\i tracert 等 网 络 诊断 命令 。 

在 Rl1 上 配置 Telnet 的 用 户 级 别 为 1 〈 监 控 级 )。 普 通 员工 仅 使 用 密码 登录 设备 ， 只 
能 使 用 display 等 命令 监控 设备 。 


[Rlluser-interface vty 0 4 

[Rl-ui-vty0-4]authentication-mode password 

[Rl-ui-vty0-4]set authentication password cipher huawei 

[Rl-ui-vty0-4]user privilege level 1 

配置 完成 后 ， 将 R2 模拟 成 普通 用 户 设备 ， 测 试 到 Rl 的 Telnet 连接 。 

<R2>telnet 10.1.1.254 

Trying 10.1.1.254 ... 

Press CTRL+K to abort 

Connected to 10.1.1.254 .… 

Login authentication 

Password: 

<R1> 

<Rl>system-view 

Error: Unrecognized command found at 人 position. 

可 以 观察 到 ， 此 时 输入 正确 的 密码 后 即 可 进入 R1 的 用 户 视 图 ， 但 是 在 试图 进入 R1 
的 系统 视图 时 被 拒绝 了 ， 这 是 因为 用 户 级 别 不 够 ， 所 以 无 法 执行 更 高 一 级 的 命令 。 

管理 员 使 用 自己 单独 的 用 户 名 和 密码 登录 设备 ， 拥 有 设备 的 配置 和 管理 权限 。 这 里 
要 将 VTY 用 户 界面 的 认证 模式 修改 成 AAA 认证 , 这 样 才能 使 用 本 地 的 用 户 名 和 密码 进 
行 认证 。 默 认 情况 下 ， 设 备 的 AAA 认证 功能 是 开启 的 ， 所 以 只 需要 为 管理 员 在 本 地 配 
置 相 应 的 用 户 名 和 密码 即 可 。 

下 面 模拟 进入 AAA 视图 下 配置 本 地 用 户 名 admin 和 密 文 密码 hello， 并 且 将 该 用 户 
的 用 户 级 别 修 改 为 3 管理 级 )。 

[R1ljaaa 


[R1-aaallocal-user admin password cipher hello privilege level 3 
配置 该 用 户 的 接 入 类 型 为 Telnet。 
[R1-aaallocal-user admin service-type telnet 
接 下 来 进入 VTY 用 户 界 面 视图 下 ， 将 认证 模式 改 成 AAA。 
[Rlluser-interface vty 0 4 
[Rl-ui-vty0-4]authentication-mode aaa 
将 R3 模拟 成 管理 员 用 户 设备 ， 测 试 到 R1 的 Telnet 连接 。 
<R3>telnet 10.1.1.254 
Trying 10.1.1.254 ... 
Press CTRL+K to abort 
Connected to 10.1.1.254 .… 
Login authentication 
Usermame:admin 
Password: 
Info: The max number of VTY users is 10, and the number 
of current VTY users on line is 1. 
The current login time is 2013-06-24 12:28:38, 
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<R1> 
<R1l>system-view 
Enter System view, return user view with Ctrl+Z. 


[R1] F 

可 以 观察 到 ， 此 时 在 连接 R1 时 需要 同时 输入 用 户 名 和 密码 进行 认证 。 输 入 正确 的 
用 户 名 和 密码 后 即 可 进入 R1 的 用 户 视图 下 ， 且 可 以 使 用 system-view 命令 进入 到 Rl 的 
系统 视图 下 ， 从 而 对 R1 进行 所 有 相关 的 配置 和 管理 操作 。 


思考 


Telnet 是 基于 TCP 协议 还 是 UDP 协议 的 应 用 ? 为 什么 ? 
Telnet 应 用 安全 吗 ? 为 什么 ? 


1.5 配置 通过 STelnet 登录 系统 


原理 概述 


由 于 Telnet 缺少 安全 的 认证 方式 ， 而 且 传 输 过 程 采 用 TCP 进行 明文 传输 ， 存在 很 大 
的 安全 隐患 ， 单 纯 提 供 Telnet 服务 容易 招致 主机 IP 地 址 欺骗 、 路 由 欺骗 等 恶意 攻击 。 传 
统 的 Telnet 和 FTP 等 通过 明文 传送 密码 和 数据 的 方式 ， 已 经 慢 慢 不 被 接受 。 

STelnet 是 Secure Telnet 的 简称 。 在 一 个 传统 不 安全 的 网 络 环境 中 ， 服 务 器 通过 对 用 
户 端的 认证 及 双向 的 数据 加 密 ， 为 网 络 终端 访问 提供 安全 的 Telnet 服务 。 

SSH (Secure Shell) 是 一 个 网 络 安全 协议 ， 通 过 对 网 络 数据 的 加 密 ， 使 其 能 够 在 一 
个 不 安全 的 网 络 环境 中 ， 提 供 安 全 的 远程 登录 和 其 他 安全 网 络 服务 。SSH 特性 可 以 提供 
安全 的 信息 保障 和 强大 的 认证 功能 ， 以 保护 路 由 器 不 受 诸如 IP 地 址 欺诈 、 明 文 密码 截取 
等 攻击 。SSH 数据 加 密 传输 ， 认 证 机 制 更 加 安全 ， 而 且 可 以 代替 Telnet， 已 经 被 广泛 使 
用 ， 成 为 了 当前 重要 的 网 络 协议 之 一 。 

SSH 基 于 TCP 协议 22 端口 传输 数据 ,支持 Password 认 证 。 用 户 端 向 服务 器 发 出 Password 
认证 请 求 , 将 用 户 名 和 密码 加 密 后 发 送 给 服务 器 ; 服务 器 将 该 信息 解密 后 得 到 用 户 名 和 密码 
的 明文 ， 与 设备 上 保存 的 用 户 名 和 密码 进行 比较 ， 并 返回 认证 成 功 或 失败 的 消息 。 

SFTP 是 SSH File Transfer Protocol 的 简称 ， 在 一 个 传统 不 安全 的 网 络 环境 中 ， 服 务 
器 通过 对 用 户 端的 认证 及 双向 的 数据 加 密 ， 为 网 络 文件 传输 提供 了 安全 的 服务 。 


实验 目的 


。 理解 SSH 的 应 用 场景 

e 理解 SSH 协议 的 原理 

。 掌握 配置 SSH Password 认证 的 方法 
。 掌握 SFTP 的 配置 
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实验 内 容 


使 用 路 由 器 R1 模拟 PC， 作为 SSH 的 Client， 路 由 器 R2 作为 SSH 的 Server， 模 拟 
远程 用 户 端 R1 通过 SSH 协议 远程 登录 到 路 由 器 R2 上 进行 各 种 配置 。 本 实验 将 通过 
Password 认证 方式 来 实现 。 


实验 拓扑 
配置 通过 STelnet 登录 系统 的 拓扑 如 图 1-37 所 示 。 





5" GE 0/0/0 党 
RI 1O.L1.0/24 
SSH Client SSH Server 


图 1-37 配置 通过 STelnet 登录 系统 拓扑 


实验 编 址 


实验 编 址 见 表 1-4。 

表 1-4 实验 编 址 

P 地 FR 
aeom | or | 2552552550 | 











默认 网 关 
N/A 













R1 (AR2220) 
R2 (AR2220) 


实验 步骤 


1. 基本 配置 
由 于 eNSP 模拟 软件 自 带 PC 没有 SSH 用 户 端 ， 本 实验 采用 两 台 路 由 器 模拟 实验 ， 
路 由 器 R1 作为 SSH 的 Client， 路 由 器 R2 作为 SSH 的 Server。 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
[R2]ping 10.1.1.1 
PING 10.1.1.1: 56 data bytes, press CTRL C to break 
Reply from 10.1.1.1: bytes=56 Sequence=1 ttl=64 time=30 ms 
Reply from 10.1.1.1: bytes=56 Sequence=2 ttl=64 time=30 ms 
Reply from 10.1.1.1: bytes=56 Sequence=3 ttl=64 time=30 ms 
Reply from 10.1.1.1: bytes=56 Sequence=4 ttl=64 time=10 ms 
Reply from 10.1.1.1: bytes=56 Sequence=5 ttl=64 time=20 ms 
--- 10.1.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/24/30 ms 
2. 配置 SSH Server 


相 比 于 Telnet 协议 ，SSH 协议 支持 对 报 文 加 密 传输 ， 而 非 明 文 传送 。 因 此 ， 在 跨越 
互联 网 的 远程 登录 管理 中 ， 建 议 使 用 SSH 协议 。 
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由 于 SSH 用 户 使 用 Password 方式 验证 ， 需 要 在 SSH 服务 器 端 生成 本 地 RSA 密 钥 ， 
因此 生成 本 地 RSA 密 钥 对 是 完成 SSH 登录 配置 的 首要 操作 。 
在 R2 上 使 用 rsa local-key-pair create 命令 来 生成 本 地 RSA 主机 密 钥 对 。 


[R2]rsa local-key-pair create 

The key name will be: R2 Host 

The range of public key size is (512 ~ 2048). 

NOTES: If the key modulus is greater than 512, 
it will take a few minutes. 

Input the bits in the modulus[default = 512]: 

Generating keys... 





配置 完成 后 , 使 用 display rsa local-key-pair public 命令 查看 本 地 密 钥 对 中 的 公 钥 部 
分 信息 。 


[R2]display rsa local-key-pair public 





Time of Key pair created: 2013-06-24 12:33:22-05:13 
Key name: R2 Host 
Key type: RSA encryption Key 











Key code: 
3047 
0240 
B7C2165E 055CESB2 ACB91781 18996572 05AF6068 
F6B71A08 729D0494 84AD336D EAB8727C 2A8D4FB9 
DCOE2AE8 FAD182F6 37BF685B 7D730889 173FA1CE 
9621BF67 
0203 
010001 
Time of Key pair created: 2013-06-24 12:33:27-05:13 
Key name: Server 
Key type: RSA encryption Key 











CEFA28DF E88B986F 8785B54E 035C0C4D 4671B975 
C71871E3 6F069F1C C1D7ACA2 DE279ED9 368EC812 
33E162D8 D03776C1 7757F05D A6DSF12E CSBBD88A 
40EDD70F 071E2E99 B5D7330C 26E3D393 BDDB3B98 
14E3086C 292F697D A973DC38 63C3570D 
0203 
010001 


可 以 观察 到 ， 此 时 已 经 生成 了 本 地 RSA 主机 密 钥 对 。“Time of Key pair created” 描 
述 公 钥 生成 的 时 间 , “Key name” 描 述 公 钥 的 名 称 ,，“Key type ”描述 公 钥 的 类 型 。 

在 R2 上 配置 VTY 用 户 界 面 ， 设 置 用 户 的 验证 方式 为 AAA 授权 验证 方式 。 

[R2]user-interface vty 0 4 

[R2-ui-vty0-4]Jauthentication-mode aaa 


指定 VTY 类 型 用 户 界 面 只 支持 SSH 协议 ， 设 备 将 自动 禁止 Telnet 功能 。 
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[R2-ui-vty0-4]protocol inbound ssh 

使 用 local-user 命令 创建 本 地 用 户 和 用 户口 令 ， 并 以 密 文 方式 显示 用 户口 令 ， 指 定 
用 户 名 为 huaweil， 密 人 码 为 huaweil 。 

[R2]aaa 


[R2-aaallocal-user huaweil password cipher huaweil 
Info: Add a new user. 


配置 本 地 用 户 的 接 入 类 型 为 SSH。 
[R2-aaallocal-user huaweil service-type ssh 


使 用 ssh user 命令 新 建 SSH 用 户 ， 用 户 名 为 huaweil， 指 定 SSH 用 户 的 认证 方式 为 
Password， 即 密码 认证 方式 。 


[R21ssh user huaweil authentication-type password 

此 处 还 可 以 继续 使 用 local-user huaweil privilege level 命令 配置 本 地 用 户 的 优先 级 。 
其 取 值 范围 为 0 一 15， 取 值 越 大 ， 代 表 用 户 的 优先 级 越 高 。 不 同 级 别 的 用 户 登 录 后 ， 只 
能 使 用 等 于 或 低 于 自身 级 别 的 命令 ， 默 认 值 为 3， 代表 管理 级 

默认 情况 下 ,设备 的 SSH 服务 器 功能 为 关闭 状态 ， 只 有 开启 了 此 功能 后 ， 用 户 端 才 
能 以 SSH 方式 与 设备 建立 连接 。 在 R2 上 开启 设备 的 SSH 功能 

[R21]stelnet server enable 

Info: Succeeded in starting the Stelnet server. 


配置 完成 后 ， 使 用 display ssh user-information huaweil 命令 在 SSH 服务 器 端 查看 
SSH 用 户 的 配置 信息 。 如 果 不 在 命令 末尾 指定 SSH 用 户 ， 则 可 以 查看 SSH 服务 器 端 所 
有 的 SSH 用 户 配置 信息 。 


[R2jdisplay ssh user-information huaweil 


可 以 观察 到 所 配置 的 SSH 用 户 名 及 认证 方式 。 
运行 display ssh server status 命令 ， 可 以 查看 SSH 服务 器 全 局 配置 信息 。 


[R2jdisplay ssh server status 
SSH version :1.99 
SSH connection timeout :60 seconds 
SSH server key generating interval :0 hours 
SSH Authentication retries :3 times 
SFTP Server :Disable 
Stelnet server :Enable 


可 以 观察 到 ， 此 时 R2 上 STelnet Server 服务 器 状态 为 启用 状态 

3. 配置 SSH Client 

当 SSH 用 户 端 第 一 次 登录 SSH 服务 器 时 ， 用 户 端 还 没有 保存 SSH 服务 器 的 RSA 公 钥 ， 
会 对 服务 器 的 RSA 有 效 性 公 钥 检查 失败 ， 从 而 导致 登录 服务 器 失败 。 因 此 当 用 户 端 Rl 首次 
登录 时 ， 需 开启 SSH 用 户 端 首次 认证 功能 ， 不 对 SSH 服务 器 的 RSA 公 钥 进行 有 效 性 检查 。 

[Rll]ssh client first-time enable 

在 SSH 用 户 端 R1 上 使 用 stelnet 命令 连接 SSH 服务 器 。 

[Rll]stelnet 10.1.1.2 


登录 成 功 后 ， 输 入 用 户 名 huaweil。 


Please input the username:huaweil 
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Trying 10.1.1.2 ... 
Press CTRL+K to abort 
Connected to 10.1.1.2 .… 


The server is not authenticated. Continue to access it? (y/n)[n]:y 

Jun 24 2013 13:14:46-05:13 R1 %%01SSH/4/CONTINUE KEYEXCHANGE(I)[0]:The server had not been authenticated in 
the process of exchanging keys. When deciding whether to continue, the user chose Y. 、 

[R1] 

Save the server's public key? (y/n)[nl:y 

Jun 24 2013 1The server's public key will be saved with the name 10.1.1.2. Please wait... 

3:14:50-05:13 R1 %%01SSH/4/SAVE PUBLICKEY(D)[1]:When deciding whether to save the server's public key 10.1.1.2， 
the user chose Y. 


第 一 次 登录 时 ， 由 于 开启 了 SSH 用 户 端 首次 认证 功能 ， 在 STelnet 用 户 端 第 一 次 登 
录 SSH 服务 器 时 ， 将 不 对 SSH 服务 器 的 RSA 公 钥 进行 有 效 性 检查 。 登 录 后 ， 系 统 将 自 
动 分 配 并 保存 RSA 公 钥 ,为 下 次 登录 时 认证 。 

输入 用 户 huaweil 的 密码 huaweil。 


Enter password: 


Access Type: SSH 
IP-Address : 10.1.1.1 ssh 


Time : 2013-06-24 13:52:54-05:13 
<R2> 
输入 密码 后 ， 远 程 登录 R2 成 功 ， 使 用 display ssh server session 命令 查看 SSH 服务 
器 端的 当前 会 话 连接 信息 。 
[2]display ssh server session 
Comm Ver Encry State Auth-type Username 
VIY'0 0 20 AES run password huaweil 


可 以 观察 到 , 用 户 huaweil 已 经 成 功 通过 VTY 线路 0 远程 登录 上 来 , 用 户 端 已 经 成 
功 连接 到 SSH 服务 器 ， 可 以 进行 各 种 配置 。 如 果 要 退出 登录 ， 使 用 quit 命令 即 可 。 

4. 配置 SFTP Server 与 Client 

在 R2 上 进入 AAA 视图 ,创建 一 个 名 称 为 huawei2 的 用 户 ， 并 配置 密码 为 huawei2， 
以 密 文 方 式 显示 。 

[R2]aaa 


[R2-aaallocal-user huawei2 password cipher huawei2 
配置 本 地 用 户 的 接 入 类 型 为 SSH。 


[R2-aaallocal-user huawei2 service-type ssh 


配置 本 地 用 户 的 优先 级 ， 不 同 级 别 的 用 户 登录 后 ， 只 能 使 用 等 于 或 低 于 自身 级 别 的 
命令 。 取 值 范围 为 0~15， 取 值 越 大 ， 用 户 的 优先 级 越 高 。 

[R2-aaallocal-user huawei2 privilege level 3 

指定 FTP 用 户 的 可 访问 目录 。 默 认为 空 ， 如 果 不 配 置 ，FTP 用 户 将 无 法 登录 。 

[R2-aaa]local-user huawei2 ftp-directory flash: 

使 用 ssh user 命令 新 建 SSH 用 户 ， 用 户 名 为 huawei2， 指 定 SSH 用 户 的 认证 方式 为 
Password， 即 密码 认证 方式 。 
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[R2]ssh user huawei2 authentication-type password 


使 用 sftp server enabe 命令 开启 SFTP 服务 器 功能 。 


[R2]sftp server enable 
配置 完成 后 ， 查 看 SSH 服务 器 的 配置 信息 。 
[R21]display ssh server status 

SSH version :1.99 

SSH connection timeout :60 seconds 

SSH server key generating interval :0 hours 

SSH Authentication retries :3 times 

SFTP Server :Enable 

Stelnet server ‘Enable 


可 以 观察 到 ， 此 时 SFTP 服务 已 经 开启 。 
在 Rl 上 使 用 sftp 命令 连接 SSH 服务 器 ， 并 输入 用 户 名 huawei2 和 口令 huawei2。 
区 ijsfp 10.1.1.2 


Please input the usemame:huawei2 


Trying 10.1.1.2 .… 
Press CTRL+K to abort 
Enter password: 
sftp-client> 
可 以 观察 到 已 经 成 功 登 录 。 
在 R2 上 查看 SSH 会 话 连接 信息 。 
[R21]display ssh server session 
Conn Ver Encry State Auth-type Username 
VIY0' 20- .AES run password huawei2 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


可 以 观察 到 , 用户 huawei2 已 经 成 功 通过 VTY 线路 0 远程 登录 上 来 , 用 户 端 已 经 成 
功 连 接 到 SSH 服务 器 ， 可 以 进行 各 种 配置 。 如 果 要 退出 登录 ， 使 用 quit 命令 即 可 。 


思考 
开启 SSH 用 户 端 首次 认证 功能 有 什么 缺陷 ? 如 果 不 开启 此 功能 如 何在 用 户 端 远程 成 功 登录 ? 


1.6 配置 通过 FTP 进行 文件 操作 


原理 概述 


FTP (File Transfer Protocol， 文 件 传 输 协议 ) 是 在 TCP/IP 网 络 和 Internet 上 最 早 使 
用 的 协议 之 一 ， 在 TCP/IP 协议 族 中 属于 应 用 层 协议 ， 是 文件 传输 的 Internet 标准 。 其 主 
要 功能 是 加 用 户 提供 本 地 和 远程 主机 之 间 的 文件 传输 ， 尤 其 是 在 进行 版 本 升级 、 日 志 
载 和 配置 保存 等 业务 操作 时 。 

FTP 采用 C/S (Client/Server) 结构 。FTP Server 能 够 提供 远程 用 户 端 访 问 和 操作 的 
功能 ， 用 户 可 以 通过 主机 或 者 其 他 设备 上 的 FTP 用 户 端 程序 登录 到 服务 器 上 ， 进 行文 件 
的 上 传 、 下 载 和 目录 访问 等 操作 。 
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实验 目的 


e 理解 FTP 的 应 用 场景 

。 掌握 操作 FTP 服务 器 的 常见 命令 

。 掌握 保存 文件 到 FTP 的 方法 

。 掌握 获取 FTP 服务 器 文件 到 本 地 的 方法 
。 掌握 配置 路 由 器 为 FTP 服务 器 的 方法 


实验 内 容 


本 实验 模拟 企业 网 络 。PC-1 为 FTP 用 户 端 设备 ， 需 要 访问 FTP Server， 从 服务 器 上 下 
载 或 上 传 文件 。 出 于 安全 角度 考虑 ,为 防止 服务 器 被 病毒 文件 感染 ， 不 允许 用 户 端 直接 上 传 
文件 到 Server。 网 络 管理 员 在 R1 上 设置 了 限制 ， 使 员工 不 能 上 传 文件 到 Server， 但 是 可 以 
从 Server 下 载 文件 。R1 也 需要 作为 用 户 端 从 Server 下 载 更 新 文件 ， 同 时 配置 R1 作为 FTP 
服务 器 ， 员 工 可 上 传 文件 到 R1 上 ， 经 过 管理 员 的 检测 后 由 了 1 再 上 传 到 FTP Server。 






实验 拓扑 
配置 通过 FTP 进行 文件 操作 的 拓扑 如 图 1-38 所 示 。 
S] 10.0.1.254 RI 
民 GE 0/0/0 eB 
ED GE 0/0/2 
GE 0/0/1 GE 0/0/1 
10.0.2.254 
10.0.1.1 10.0.2.1 
Ethernet 0/0/0 Ethemet 0/0/0 
PC-l FTP Server 
图 1-38 配置 通过 FTP 进行 文件 操作 拓扑 
实验 编 址 
实验 编 址 见 表 1-5。 
表 1-5 实验 编 址 















接口 子 网 接 码 
| Bthemet0/0/0 | 100.11 | 255.255.255.0 
255.255.255.0 
255.255.255.0 
255.255.255.0 







PC-1 
FTP Server 


10.0.1.254 
10.0.2.254 






R1 (AR2220) 
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实验 步骤 


1]. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 


<R1l>ping 10.0.1.1 

PING 10.0.1.1: 56 data bytes, press CTRL C to break 

Reply from 10.0.1.1: bytes=56 Sequence=] ttl=255 time=40 ms 

Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=255 time=10 ms 

Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=255 time=10 ms 

Reply from 10.0.1.1; bytes=56 Sequence=4 ttl=255 time=] ms 

Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=255 time=20 ms 

~- 10.0.1.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 1/16/40 ms 

其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2. 配置 路 由 器 为 FTP Client | 
首先 ， 在 本 地 电脑 上 创建 一 个 文件 夹 FTP-Huawei 作为 FTP 服务 器 的 文件 夹 ， 在 该 


文件 夹 下 再 创建 子 文件 夹 Config， 并 创建 测试 文件 test.txt， 如 图 1-39 所 示 。 





图 139 创建 文件 夹 
创建 完成 后 ， 设 置 FTP 服务 器 的 文件 夹 为 刚才 的 主 文件 夹 目 录 ， 如 图 1-40 所 示 。 








| | 








文件 根 目录 ; 。C:Wsers\wx57751\pesktop\FTP-Huawe 


Config 








图 1-40 设置 FTP 服务 器 文件 根 目录 
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设置 完成 后 ， 启 动 FTP Server。 在 R1 上 使 用 ftp 命令 连接 FTP 服务器。 登录 时 默认 
需要 输入 用 户 名 和 密码 ， 由 于 服务 器 上 没有 设置 用 户 名 和 密码 ， 每 次 在 R1 上 输入 时 等 
同 于 创建 该 用 户 名 和 密码 ， 本 次 使 用 用 户 名 10.0.2.1， 密 码 huawei。 


<R1l>ftp 10.0,2.1 1 
Trying 10.0.2.1 .… 

Press CTRL+K to abort 

Connected to 10.0.2.1. 

220 FtpServerTry FtpD for free 

User(10.0.2.1:(none)):10.0.2.1 

331 Password required for 10.0.2.1 . 

Enter password: 

230 User 10.0.2.1 logged in , proceed 

[RI1-ftp] 

可 以 观察 到 ， 路 由 器 进入 FTP 配置 视图 。 
使 用 ls 命令 查看 FTP 服务 器 文件 夹 状态 。 
[R1-ftp]ls 

200 Port command okay. 

150 Opening ASCI NO-PRINT mode data connection for ls -1. 
Config 

226 Transfer finished successfully. Data connection closed. 
FTP: 12 byte(s) received in 0.180 second(s) 66.66byte(s)/sec. 


可 以 观察 到 ， 目 前 有 文件 夹 Config。 
使 用 ed 命令 进入 文件 夹 。 


[R1-ftplcd Config 
250 "/config" is current directory. 


可 以 观察 到 ， 目 前 已 进入 该 文件 夹 。 
使 用 dir 命令 查看 详细 的 文件 属性 。 


[Ri-ftpJdir 

200 Port command okay. 

150 Opening ASCII NO-PRINT mode data connection for 1s -]. 
drwxrwxrwx 1 10.0.2.1 nogroup 3Aug21 2013 test.txt 


226 Transfer finished successfully, Data connection closed. 
FTP: 66 byte(s) received in 0.050 second(s) 1.32Kbyte(s)/sec. 


使 用 get 命令 下 载 test.txt 到 本 地 路 由 器 。 


[RI-ftp]Jget test.txt 

200 Port command okay. 

150 Sending test.txt (3 bytes). Mode STREAM Type BINARY 

226 Transfer finished successfully. Data connection closed. 

FTP: 3 byte(s) received in 17.450 second(s) .17byte(s)/s 

可 以 观察 到 ， 下 载 文 件 成 功 。 

使 用 put 命令 上 传 test.txt 到 FTP 服务 器 ， 命 名 为 new.txt。 


[RI-ftpjptut test.txt new:txt 

200 Port command okay. 

150 Opening BINARY data connection for new.txt 

226 Transfer finished successfully. Data connection closed. 
FTP: 3 byte(s) sent in 0.070 second(s) 42.85byte(s)/sec., 
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可 以 观察 到 ， 上 传 文件 成 功 。 

3. 配置 路 由 器 为 FTP Server 

在 上 面 的 步骤 中 ,路 由 器 作为 FTP Client 已 经 成 功 从 FTP Server 上 获取 和 上 传 了 文件 。 

现在 将 路 由 器 配置 为 FTP 服务 器 ,可 以 使 得 路 由 器 下 行 的 用 户 端 能 够 上 传 文件 到 路 
由 器 上 ， 并 可 直接 从 Server 上 获取 文件 。 

打开 路 由 器 Rl 的 FTP 服务 器 功能 。 

<Rl>system-view 

[Rllftp server enable 

设置 FTP 登录 的 用 户 名 为 ftp， 密 码 为 huawei, 设置 文件 夹 目 录 “flash: ”。 配置 FTP 
用 户 可 访问 的 目录 为 “fash: ”， 用 户 优 先 级 为 1 5， 服务 类 型 为 ftp。 

1]aaa 

3 ftp password cipher hawei 

[Rl-aaallocal-user ftp ftp-directory flash: 

[R1-aaallocal-user ftp service-type ftp 

[Rl-aaallocal-user fp privilege level 15 

配置 完成 后 ， 在 本 地 创建 测试 文件 test-user.txt， 并 设置 用 户 端 信息 如 图 1-41 所 示 。 
配置 服务 器 地 址 为 10.0.1.254， 用 户 名 为 fp， 密 码 为 huawei， 然 后 单 击 “ 登 录 ” 按 钮 。 





加 PASY Pog 





本 地 文件 列表 








只 显示 小 于 JW 的 文件 














图 1-41 在 PC-1 上 设置 FTP 服务 器 


登录 成 功 后 ， 可 在 “本 地 文件 列表 ”中 选择 文件 testrusertxt， 并 单 击 癌 右 箭头 传送 
至 FTP 服务 器 ， 可 观察 到 上 传 文件 成 功 。 
在 R1 上 查看 目录 下 的 文件 。 


[RIldir 
Directory of flash:/ 
Idx Attr Size(Byte) Date Time(LMT) FileName 
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3 -rwW- 0 Sep 09 2013 03:32:58 test-user.txt 
4 -rw- 0 Sep09201303;25:47 test.txt 
980,052 KB total (700,320 KB free) 


可 以 观察 到 ， 已 经 将 相应 文件 成 功 上 传 至 FTP 服务 器 R1。 
思考 
默认 情况 下 ，FTP 服务 器 端 监听 端口 号 是 21， 能 否 在 路 由 器 上 变更 此 端口 号 ? 有 什么 好 处 ? 








第 2 全 
交换 机 基础 配置 





2.1 交换 机 基础 配置 
2.2 理解 ARP 及 Proxy ARP 
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2.1 交换 机 基础 配置 


原理 概述 


交换 机 之 间 通 过 以 太 网 电 接口 对 接 时 需要 协商 一 些 接口 参数 ， 比 如 速率 、 双 工 模式 
等 。 交 换 机 的 全 双 工 是 指 交 换 机 在 发 送 数据 的 同时 也 能 够 接收 数据 ， 两 者 同时 进行 。 就 如 
平时 打 电 话 一 样 ， 说 话 的 同时 也 能 够 听 到 对 方 的 声音 。 而 半 双 工 指 在 同一 时 刻 只 能 发 送 或 
接收 数据 ， 就 像 一 条 比较 罕 的 路 ， 只 能 先 通过 一 边 的 车 ， 然 后 再 通过 另 一 边 的 车 ， 若 两 边 
一 起 通过 的 话 就 会 撞车 。 如 果 交 换 机 两 端 接口 协商 模式 不 一 致 ， 会 导致 报 文 交 互 异常 。 

接口 速率 指 交换 机 接口 每 秒 钟 传输 数据 的 多 少 , 在 交换 机 上 可 根据 需要 调整 以 太 网 接 
口 速率 。 默 认 情况 下 ， 当 以 太 网 接口 工作 在 非 自 协商 模式 时 ， 它 的 速率 为 接口 支持 的 最 大 
速率 。 


实验 目的 


。 理解 双 工 模式 和 接口 速率 
。 掌握 更 改 双 工 模式 的 配置 
。 掌握 更 改 接口 速率 的 配置 


实验 内 容 


某 公司 刚 成 立 ， 新 组 建 网 络 ， 购 置 了 3 台 交 换 机 。 其 中 S1 和 S2 为 接 入 层 交 换 机 ， 
S3 为 汇聚 层 交 换 机 。 现 在 网 络 管理 员 需 要 对 3 台新 交换 机 进行 基本 配置 , 保证 交换 机 间 
的 接口 使 用 全 双 工 模式 ， 并 根据 需要 配置 接口 速率 。 


实验 拓扑 
交换 机 基础 配置 的 拓扑 如 图 2-1 所 示 。 






GE 0/0/2 


Ethemet 0/0/1 Ethermet 0/0/1 
Ethernet 0/0/1 Ethemet 0/0/1 





图 2-1 交换 机 基础 配置 拓扑 
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实验 编 址 


实验 编 址 见 表 2-1。 
表 2-1 实验 编 址 


FR 


Ethermet0/0/1 | 10.1.1.1 | 255.255.255.0 
Ethernet 0/0/1 10.1.1.2 255.255.255.0 





实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
PC>ping 10.1.1.2 
Ping 10.1.1.2; 32 data bytes, Press Ctrl_C to break 
From 10.1.1.2: bytes=32 seq=1l ttl=128 time=62 ms 
From 10.1.1.2: bytes=32 seq=2 ttl=12% time=63 ms 
From 10.1.1.2: bytes=32 seq=3 ttl=128 time=31 ms 
From 10.1.1.2: bytes=32 seq=4 ttl=128 time=47 ms 
From 10.1.1.2: bytes=32 seq=5 ttl=128 time=78 ms 
--- 10.1.1.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 31/56/78 ms 
现在 PC-1 和 PC-2 能 够 正常 通信 。 
2. 配置 交换 机 双 工 模式 
配置 接口 的 双 工 模式 可 在 自 协商 或 者 非 自 协商 模式 下 进行 。 
在 自 协商 模式 下 ， 接 口 的 双 工 模式 是 和 对 端 接口 协商 得 到 的 ， 但 协商 得 到 的 双 工 模 
式 可 能 与 实际 要 求 不 符 。 可 通过 配置 双 工 模式 的 取 值 范围 来 控制 协商 的 结果 。 例 如 ， 互 
连 的 两 个 设备 对 应 的 接口 都 支持 全 / 半 双 工 , 经 自 协 商 后 工作 在 半 双 工 模式 , 与 实际 要 求 
的 全 双 工 模式 不 符 , 这 时 就 可 以 执行 auto duplex full 命令 使 接口 的 可 协商 双 工 模式 变 为 
全 双 工 模式 。 默 认 情况 下 ， 以 太 网 接口 自 协商 双 工 模式 范围 为 接口 所 支持 的 双 工 模式 。 
在 非 自 协商 模式 下 ， 可 以 根据 实际 需求 手动 配置 接口 的 双 工 模式 。 
在 S1、S2、S3 交换 机 接口 下 先 通过 undo negotiation auto 命令 关 掉 自 协商 功能 ， 再 
手工 指定 双 工 模式 为 全 双 工 。 
[Sl]interface GigabitEthernet 0/0/1 


[Sl-GigabitEthernet0/0/1]jundo negotiation auto 
[S1-GigabitEthernet0/0/1]duplex full 


[S2]interface GigabitEthernet 0/0/2 
[$2-GigabitEthernet0/0/2]Jundo negotiation auto 
[$2-GigabitEthernet0/0/2]duplex full 


[S3]interface GigabitEthernet 0/0/1 
[$3-GigabitEthernet0/0/1Jundo negotiation auto 
[S3-GigabitEthernet0/0/1]duplex full 
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[S3-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[S3-GigabitEthernet0/0/2]undo negotiation auto 
[S3-GigabitEthernet0/0/2]duplex full 


3. 配置 接口 速率 

在 自 协 商 模式 下 ， 以 太 网 接口 的 速率 是 和 对 端 接口 协商 得 到 的 。 如 果 协 商 的 速率 与 
实际 要 求 不 符 ， 可 通过 配置 速率 的 取 值 范围 来 控制 协商 的 结果 。 例 如 ， 互 连 的 两 个 设备 
对 应 的 接口 经 自 协 商 后 的 速率 为 10Mbit/s， 与 实际 要 求 的 100Mbit/s 不 符 ， 可 通过 执行 
auto speed 100 命令 配置 使 得 接口 可 协商 的 速率 为 100Mbits。 默 认 情 况 下 ， 以 太 网 接口 
自 协商 速率 范围 为 接口 支持 的 所 有 速率 。 

在 非 自 协商 模式 下 ， 需 手动 配置 接口 速率 ， 避 免 发 生 无 法 正常 通信 的 情况 。 

默认 情况 下 ， 以 太 网 接口 的 速率 为 接口 支持 的 最 大 速率 。 

根据 网 络 需要 调整 接口 速率 。 由 于 网 络 用 户 较 少 ， 配 置 GE 接口 速率 为 100Mbit/s， 
配置 Ethernet 接口 速率 为 10Mbit/s。 

在 3 台 交 换 机 接口 下 配置 速率 。 首 先 关 闭 接口 自 协商 模式 ,然后 配置 以 太 网 接口 的 速率 。 

[S1Jinterface Ethernet 0/0/1 


[S1-Ethernet0/0/1 lundo negotiation auto 

[S1-Ethernet0/0/L1]speed 10 

用 同样 的 方法 配置 另外 两 台 设 备 接口 的 速率 。 
[S2]interface Ethernet 0/0/1 

[S2-Ethernet0/0/1]jundo negotiation auto 

[S2-Ethernet0/0/1]speed 10 

[S$2-Ethernet0/0/1 linterface GigabitEthernet 0/0/2 
[$2-GigabitEthernet0/0/2Jjundo negotiation auto 
[$2-GigabitEthernet0/0/2]speed 100 


[S3]interface GigabitEthernet 0/0/1 
[S3-GigabitEthernet0/0/1]undo negotiation auto 
[S3-GigabitEthernet0/0/1]speed 100 
[S3-GigabitEthernet0/0/1jinterface GigabitEthernet 0/0/2 
[S3-GigabitEthernet0/0/2]undo negotiation auto 
[$3-GigabitEthernet0/0/2]speed 100 


思考 
在 实际 操作 中 ， 通 常 使 用 自动 协商 模式 还 是 手动 配置 模式 ? 为 什么 ? 


2.2 理解 ARP 及 Proxy ARP 


原理 概述 


ARP (Address Resolution Protocol) 是 用 来 将 IP 地 址 解析 为 MAC 地 址 的 协议 。ARP 
表 项 可 以 分 为 动态 和 静态 两 种 类 型 。 动 态 ARP 是 利用 ARP 广播 报 文 ， 动 态 执行 并 自动 
进行 IP 地 址 到 以 太 网 MAC 地 址 的 解析 ， 无 需 网 络 管理 员 手 工 处 理 。 静 态 ARP 是 建立 
IP 地 址 和 MAC 地 址 之 间 固 定 的 映射 关系 , 在 主机 和 路 由 器 上 不 能 动态 调整 此 映射 关系 ， 
需要 网 络 管理 员 手 工 添 加 。 设 备 上 有 一 个 ARP 高 速 缓存 (ARP cache)， 用 来 存放 下 地 
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址 到 MAC 地 址 的 映射 表 ， 利 用 ARP 请 求 和 应 答 报 文 来 缓存 映射 表 ， 以 便 能 正确 地 把 三 
层 数据 包 封 装 成 二 层 数 据 帧 ， 达 到 快速 封装 数据 帧 、 正 确 转发 数据 的 目的 。 另 外 ARP 
还 有 扩展 应 用 功能 ， 比 如 Proxy ARP 功能 。 

Proxy ARP， 即 代理 ARP， 当 主机 上 没有 配置 默认 网 关 地 址 《〈《 即 不 知道 如 何 到 达 本 
地 网 络 的 网 关 设 备 )， 可 以 发 送 一 个 广播 ARP 请 求 〈 请 求 目 的 主机 的 MAC 地址 )， 使 具 
备 Proxy ARP 功能 的 路 由 器 收 到 这 样 的 请 求 后 ， 在 确认 请 求 地 址 可 达 后 ， 会 使 用 自身 的 
MAC 地 址 作为 该 ARP 请 求 的 回应 ， 使 得 处 于 不 同 物理 网 络 的 同一 网 段 的 主机 之 间 可 以 
正常 通信 。 
实验 目的 


e 理解 ARP 工作 原理 

e 掌握 配置 静态 ARP 的 方法 
e 理解 Proxy ARP 的 工作 原理 
e 掌握 Proxy ARP 的 配置 

。 理解 主机 之 间 的 通信 过 程 


实验 内 容 


本 实验 模拟 公司 网 络 场景 。 路 由 器 R1 是 公司 的 出 口 网 关 ， 连 接 到 外 网 。 公 司 内 所 
有 员工 使 用 10.1.0.0/16 网 段 ， 通 过 交换 机 连接 到 网 关 路 由 器 上 。 网 络 管理 员 通 过 配置 静 
态 ARP 防止 ARP 欺骗 攻击 ， 保 证 通信 和 安全。 又 由 于 公司 内 所 有 主机 都 没有 配置 网 关 ， 
且 分 属于 不 同 广播 域 ， 造 成 无 法 正常 通信 ， 网 络 管理 员 需 要 通过 在 路 由 器 上 配置 ARP 
代理 功能 ， 实 现 网 络 内 所 有 主机 的 通信 。 
实验 拓扑 


ARP 及 ARP Proxy 的 拓扑 如 图 2-2 所 示 。 


10;1,1.254/24 10.1.2.254/24 
GE 0/0/1 


ER GE 0/0/2 
GE 0/0/1 -a R1 GE 0/0/2 
An TAR 
SI 远 | 二 | 52 


Ethernet 0/0/2 Ethernet 0/0/1 












Ethemet 0/0/1 


Ethernet 0/0/] 
Ethermet O/O/1 Ethernet 0/0/1 


Sy 











PC-] PC-2 PC-3 


10,1.1.1/16 10,1.1.2/16 10.1.2.3/16 
图 2-2 理解 ARP 及 ARP Proxy 拓扑 
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实验 编 址 


实验 编 址 见 表 2-2。 
表 2-2 实验 编 址 
ET 


GE 0/0/1 10.1.1.254 255.235.255.0 
RI1(AR2220) 
GE 0/0/2 10.1.2.254 255.255.255.0 


Ethernet 0/0/1 L012 235.255.:0.0 


Ethernet 0/0/1 L101.1.1 255.255.0.0 
Ethernet 0/0/1 10.1.2,3 255.255.0.0 





实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 ， 如 图 2-3 所 示 。 


ST 
| 于 zt 隔 置 | 命 信行 组 后 。 | Uoz 帮 电工 上 
主机 名 : | 
MAC 地 址 54-89.98-CF-26-03 1 
1 
IPy4 想 辕 | 
辐 静态 起 DHCP 自动 蓉 取 DNS 昭 | 
下 地址 1 1 1 DNS1 0 0 0 0 | 
! 
子 网 搞 码 SS DNS2 sds | 
网 关 : 0 0 0 0 | 
| 
ipv6 配置 | 
加 静态 DHCPY6 | 
IPv6 地 址 | 
前 绍 长 度 : 128 | 
IPv6 网 关 : 
| 





图 2-3 配置 PC-1 的 IP 地址 


根据 实验 编 址 配置 PC 主机 的 下 地址 及 对 应 的 掩 码 ， 掩 码 长 度 是 16。 配 置 完成 后 ， 
在 命令 行 下 使 用 arp -a 命令 查看 主机 的 ARP 表 。 

PC>arp -a 

Internet Address ©& PhysicalAddress Type 


PC> 
查看 到 ARP 表 项 为 空 ， 没 有 任何 条 目 在 里 面 。 
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根据 实验 编 址 配置 路 由 器 Rl 的 接口 卫 地 址 ， 掩 码 长 度 为 24。 


[Rllinterface GigabitEthernet 0/0/1 
[Rl1-GigabitEthernet0/0/1]ip address 10.1.1.254 255.255.255.0 
[RI1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[RI-GigabitEthernet0/0/2]ip address 10.1.2.254 255.255.255.0 


配置 完成 后 ， 使 用 display arp all 命令 查看 Rl1 的 ARP 表 。 


[Rl1]display arp all 

IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE 
VLAN/CEVLAN PVC 

10.1.1.254 00e0-fc03-beac 工 - GEO0/0/1 

10.1.2.254 00e0-fc03-bead I- GE0/0/2 

Total:2 Dynamic:0 Static:0 Interface:2 


ARP 表 中 仪 含 有 R1 的 两 个 接口 IP 地 址 及 与 其 对 应 的 MAC 地 址 的 ARP 表 项 ,没有 
其 他 条 目 。 
在 PC-1 上 使 用 ping 命令 测试 到 网 关 R1 和 PC-2 的 连通 性 。 


PC>ping 10.1.1.254 
Ping 10.1.1.254: 32 data bytes, Press Ctrl _C to break 
From 10.1.1.254: bytes=32 seq=] ttl=255 time=47 ms 
From 10.1.1.254: bytes=32 seq=2 ttl=255 time=47 ms 
From 10.1.1.254: bytes=32 seq=3 ttl=255 time=31 ms 
From 10.1.1.254: bytes=32 seq=4 ttl=255 time=31 ms 
From 10.1.1.254: bytes=32 seq=5 ttl=255 time=15 ms 
--- 10.1.1.254 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 15/34/47 ms 


PC>ping 10.1.1.2 
Ping 10.1.1.2: 32 data bytes, Press Ctrl C to break 
From 10.1.1.2: bytes=32 seq=] tt=128 time=16 ms 
From 10.1.1.2: bytes=32 seq=2 ttl=128 time<] ms 
From 10.1.1.2: bytes=32 seq=3 ttl=128 time=16 ms 
From 10.1.1.2: bytes=32 seq=4 ttl=128 time=16 ms 
From 10.1.1.2: bytes=32 seq=5 ttl=128 time=16 ms 
-—- 10.1.1.2 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avyg/max = 0/12/16 ms 
在 PC-3 上 ， 使 用 ping 命令 测试 到 网 关 R1 的 连通 性 。 
PC>ping 10.1.2.254 
Ping 10.1.2.254: 32 data bytes, Press Ctrl_C to break 
From 10.1.2.254; bytes=32 seq=]1 ttl=255 time=47 ms 
From 10.1.2.254; bytes=32 seq=2 ttl=255 time=46 ms 
From 10.1.2.254: bytes=32 seg=3 ttl=255 time=31 ms 
From 10.1.2.254; bytes=32 seq=4 ttl=255 time=16 ms 
From 10.1.2.254: bytes=32 seq=5 ttl=255 time=15 ms 
--- 10.1.2.254 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 
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0.00% packet loss 
round-trip min/avg/max = 15/31/47 ms 


可 以 观察 到 ， 直 连 网 络 连 通 性 正常 。 

当主 机 和 网 关 之 间 有 数据 访问 时 ， 如 果 ARP 表 中 没有 目标 人 P 地 址 与 目标 MAC 地 
址 的 对 应 表 项 ，ARP 协议 会 被 触发 ， 向 直 连 网 段 发 送 ARP 广播 请 求 包 ， 请 求 目 标 卫 地 
址 所 对 应 的 MAC 地 址 。 图 2-4 是 PC-1 发 送 的 ARP 广播 请 求 ， 请 求 目标 卫 10.1.1.254 
的 MAC 地 址 。 


由 Ethernet II, Src: HuaweiTe_ cf:26:03 (54:89:98:cf:26:03), Dst: Broadcast (ff:ff:ff:ff:ff:ff) 
Address Resolution Protocol (request) 

Hardware type: Ethernet (0x0001) 

Protocol type: IP (0x0800) 

Hardware size: 6 

Protocol size: 4 

Opcode: request (0x0001) 

[zs gratuitous: Falsel] 

Sender MAC address: HuaweiTe_cf:26:03 (54:89:98:cf:26:03) 

Sender IP address: 10.1.1.1 (10.1.1.1) 

Target MAC address: Broadcast (ff:ff:ff:ff:ff:ff) 

Target IP address: 10.1.1.254 (10.1.1.254) 


2-4 PC-1 发 送 的 ARP 广播 请 求 报 文 


网 关 收 到 广播 请 求 后 ， 回 应 单 播 的 ARP 响应 ， 里 面 含有 自身 全 地 址 与 MAC 地 址 
的 对 应 关系 ， 如 图 2-5 所 示 。 


下 Ethernet II, Src: HuaweiTe_03:be:ac (00:e0:fc:03:be:ac), Dst: HuaweiTe_ cf:26:03 (54;89:98:;cf:26:03) 
© Address Resolution Protocol (reply) 
Hardware type: Ethernet (Ox0001) 
Protocol type: IP (Ox0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: reply (0x0002) 
[Is gratuitous: False] 
Sender MAC address: HuaweiTe_03:be:ac (00:e0:fc:03:be:ac) 
sender IP address: 10.1.1.254 (10.1.1.254) 
Target MAC address: HuaweiTe_cf:26:03 (54;89:;98:cf:26:03) 
Target IP address: 10.1.1.1 (10.1.1.1) 


图 2-5 ARP 响应 报 文 
PC 和 R1 都 会 从 这 一 对 消息 中 知道 对 方 的 他 地 址 与 MAC 地 址 的 对 应 关系 , 并 将 它 
写 到 各 自 的 ARP 表 中 。 在 PC-1 上 ping 网 关 10.1.1.254 后 ， 在 PC 上 使 用 arp-a 命令 查 
看 ， 在 R1 上 使 用 display arp all 命令 查看 。 


PC>arp -a 

Internet Address Physical Address Type 

10.1.1.254 00e0-fe03-beac dynamic 

<R1>display arp all 

IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE 
VLAN/CEVLAN PVC 

10.1.1,254 00e0-fc03-beac I- GEQ/0/1 

10.1.1.1 5489-98cf-2603 20 D-0 GE0/0/1 

10.1.2.254 00e0-fe03-bead I- GE0/0/2 

10.1.2.3 5489-98cfre417 20 D-0 GE0/0/2 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Total:4 Dynamic:2 Static:0 Interface:2 
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可 以 观察 到 ， 在 PC-1 上 生成 了 网 关 IP 地 址 10.1.1.254 和 与 其 对 应 的 MAC 地 址 的 
ARP 表 项 ， 在 Rl1 上 生成 了 PC-1 的 IP 地 址 10.1.1.1 和 与 其 对 应 的 MAC 地 址 的 ARP 表 
项 。 上 述 出 现在 PC 和 Rl 里面 的 条 目 都 是 动态 生成 的 。 如 果 一 段 时 间 之 后 没有 更 新 , 便 
会 从 上 述 ARP 表 中 删除 。 

2. 配置 静态 ARP 

上 述 ARP 协议 的 工作 行为 往往 被 攻击 者 利用 。 如 果 攻 击 者 发 送 伪造 的 ARP 报 文 ， 
而 且 报 文 里 面 所 通告 的 IP 地 址 和 MAC 地 址 的 映射 是 错误 的 ， 则 主机 或 网 关 会 把 错误 的 
映射 更 新 到 ARP 表 中 。 当 主机 要 发 送 数 据 到 指定 的 目标 IP 地 址 时 ， 从 ARP 表 里 得 到 了 
不 正确 的 硬件 MAC 地 址 ， 并 用 之 封装 数据 帧 ， 导 致 数据 帧 无 法 正确 发 送 。 

由 于 公司 内 主机 感染 了 这 种 ARP 病毒 ， 所 以 主机 对 网 关 R1 进行 ARP 攻击 ， 向 网 
关 R1 通告 含 错误 映射 的 ARP 通告 ， 导 致 网 关 路 由 器 上 使 用 不 正确 的 动态 ARP 映射 条 
目 ， 造 成 其 他 主机 无 法 与 网 关 正 常 通信 。 

模拟 ARP 攻击 发 生 时 ,网络 的 通信 受到 了 影响 。 在 网 关 R1 上 , 使 用 arp static 10.1.1.1 
5489-98CF-2803 命令 在 路 由 器 上 静态 添加 一 条 关于 PC-1 的 错误 的 ARP 映射 , 假定 此 映 
射 条 目 是 通过 一 个 ARP 攻击 报 文 所 获得 的 (静态 的 条 目 优 于 动态 的 条 目 )， 所 以 错误 的 
映射 将 出 现在 ARP 表 中 。 


[Ri]arp static 10.1.1.1 5489-98CF-2803 


使 用 display arp all 命令 查看 ARP 表 ， 并 使 用 ping 测试 PC-1 和 网 关 间 的 连通 性 。 


[Rl]display arp al 

IPADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE 
VLAN/CEVLAN PVC 

10.1.1.254 00e0-fc03-beac I- GEO0/0/1 

10.1.2.254 00e0-fc03-bead I- GE0/0/2 

10.1.1.1 5489-98cf-2803 S-- 

Total:3 Dynamic:0 Static:1 Interface:2 

[Rll]ping 10.1.1.1 


PING 10.1.1,1: 56 data bytes, press CTRL C to break 
Request time out 
Request time out 
Request time out 
Request time out 
Requesttime out 


PC>ping 10.1.1.254 

Ping 10.1.1.254; 32 data bytes, Press Ctrl Cto break 
Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 


EE 


可 以 观察 到 , PC-1 与 网 关 间 无 法 通信 , 因为 在 路 由 器 R1 上 ARP 的 映射 错误 ， 
导致 路 由 器 无 法 正确 地 发 送 数 据 包 给 PC-1。 在 R1 的 GE 0/0/1 接口 抓 包 观察 ， 如 
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图 2-6 所 示 。 
8 14-024000 10.1,1.254 10.1.1.1 INMP Echo (ping) request (id=0xcdab, seq(be/Te)=256/1i, tt1=255) 
10 16.037000 10.1,1.254 10.1i1.1.1 ICMP Echo (ping) request (id=0xcdab, seq(be/1e)=512/2, tt1=255) 
12 18.049000 110.1.1.254 10.1.1.1 ‘ICMP Echo (ping) request (id=0xcdab, segq(be/1Ne)=768/3, ttT1=255) 
1# 20.077000 10.1,.1.254 10;1.1i.1 ICMP ”Echo (ping) request (id=0xcdab, seq(be/le)=1024/4, tt1=255) 
16 22,090000 10.1.1.254 10.1.1.1 ICEMP Echo {ping) request (id=0xcdab, seq(be/Te)=1280/5, tt1=255) 








IE 


| 一- 





H Erame 14: 98 bytes on wire (784 bits), 98 bytes captured (784 bits) 
3 Ethernet II，SFc: HuaweiTe 03:be:ac (00:e0:fc:03:be:ac), Dst: HuaweiTe_ cf:28:03 (54:89:98:cf:28:03) 
困 Destination: HuaweiTe_cf:28:03 (54:89:;98:cf:28:;03) 
因 Source: HuaweiTe_03:be:ac (00:e0:fc:03:be:ac) 
Type: IP (Ox0800) 
因 INternet Protocol, src; 10.1.1.254 {10.1.1.254), Dst; 10,1.1.1 {10.1.1.1) 
Internet Control Message Protocol 


图 2-6 抓 包 现 象 


可 以 观察 到 , 由 于 配置 了 静态 ARP, R1 发 往 PC-1 的 ping 包 的 二 层 头 部 , 目的 MAC 
地 址 被 错误 地 封装 为 5489-98CF-2803。 

应 对 ARP 欺骗 攻击 ,防止 其 感染 路 由 器 的 ARP 表 ， 可 以 通过 配置 静态 ARP 表 项 来 
实现 ,如 果 了 他 地 址 和 一 个 MAC 地 址 的 静态 映射 已 经 出 现在 ARP 表 中 , 则 通过 动态 ARP 
方式 学 来 的 映射 则 无 法 进入 ARP 表 。 所 以 针对 公司 网 络 的 现状 ， 网 络 管理 员 在 R1 上 手 
工 配 置 三 条 关于 PC-1、PC-2 和 PC-3 的 正确 ARP 映射 。 使 用 arp static 命令 , 配置 如 下 。 


区 1]undo arp static 10,1.1.1 5489-98cf-2803 
[Rllarp static 10.1.1.1 5489-98cf-2603 
[R1]arp static 10.1.1.2 5489-98cf-5723 
[Ril]arp static 10.1.2.3 5489-98cf-e417 


Raljdisplay arp all 

IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE 
VLAN/CEVLAN PVC 

10.1.1.254 00e0-fc03-beac 工 - GE0/0/1 

10.1.2.254 00e0-fc03-bead I- GE0/0/2 

10.1.1.1 5489-98cfE2603 S-- 

10.1.1.2 5489-98cf5723 S-- 

10.1.2.3 5489-98cf-e417 S-- 

Total:5 Dynamic:0 Static:3 Interface:2 


配置 完成 后 ， 在 PC-1 上 测试 。 


PC>ping 10.1.1.254 
Ping 10.1.1.254: 32 data bytes, Press Ctrl C to break 
From 10.1.1.254: bytes=32 seq=]l ttl=255 time=31 ms 
From 10.1.1,254: bytes=32 seq=2 ttl=255 time=31 ms 
From 10.1.1.254: bytes=32 seq=3 ttl=255 time=31 ms 
From 10,1,1,254: bytes=32 seq=4 ttl=255 time=16 ms 
From 10.1.1.254: bytes=32 seq=5 ttl=255 time=16 ms 
--- 10.1.1.254 ping statistics --- 

$5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/ayg/max = 16/25/31 ms 


可 以 观察 到 ， 配 置 后 连通 性 恢复 正常 。 
公司 网 络 中 出 现 ARP 攻击 的 情况 是 比较 常见 的 ， 防 御 的 办 法 之 一 是 在 ARP 表 中 手 
工 添加 ARP 映射 。 此 种 方法 的 优点 是 简单 易 操 作 , 不 足 之 处 是 网 络 中 每 个 网 络 设备 都 有 
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ARP 表 ， 要 全 方位 保护 网 络 就 要 在 尽 可 能 多 的 三 层 设 备 上 把 全 网 的 ARP 映射 手工 写 入 
到 ARP 表 里 ， 工 作 量 过 大 ， 如 果 更 换 卫 或 MAC 后 ， 还 需要 手工 更 新 ARP 映射 ， 远 没 
有 动态 ARP 协议 维护 ARP 表 方 便 。 但 如 果 公 司 网 络 规模 不 大 或 者 网 络 设备 不 多 的 情况 
下 ， 葛 态 ARP 方案 还 是 具有 一 定 优势 的 。 

3. 配置 Proxy ARP 

目前 公司 的 网 络 被 路 由 器 R1 分 割 为 两 个 独立 的 广播 域 ， 每 个 路 由 器 接口 对 应 一 个 
IP 网 络 ， 分 别 是 10.1.1.0/24 和 10.1.2.0/24， 查 看 R1 的 路 由 表 。 

[Rll]display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 6 Routes :6 
Destination/Mask Proto Pre Cos Flags NextHop Interface 
10.1.1.0/24 Direct 0 0 D 10.1.1.254 GigabitEthernet 0/0/1 
10.1.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1 
10.1.2.0/24 Direct 0 0 D 10.1.2.254 GigabitEthernet 0/0/2 
10.1.2.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/2 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 B 127.0.0.1 InLoopBack0 


默认 情况 下 ， 路 由 器 上 的 ARP 代理 功能 是 关闭 的 。 
如 果 RI1 保持 ARP 代理 功能 关闭 的 情况 , 则 PC-2 和 PC-3 之 间 不 能 互相 通信 ,在 PC-2 
使 用 ping 访问 10.1.2.3， 并 在 PC-2 的 EE0/0/1 接口 上 抓 包 来 观察 ， 如 图 2-7 所 示 。 


PC>ping 10.1.2.3 

Ping 10.1.2.3: 32 data bytes, Press Ctrl C to break 
From 10.1.1.2: Destination host unreachable 
From 10.1.1.2: Destination host unreachable 

From 10.1.1.2: Destination host unreachable 

From 10.1.1.2: Destination host unreachable 

From 10.1.1.2: Destination host unreachable 


Fr 


No, Time Source Destination protocol info 
344 690. 741000 HuaweiTe_cf:57:23 Broadcast ARP who-has 101:2.37 Teal i012 
345 691.755000 HuaweiTe_cf:57:23 Broadcast ARP Who has 10.T.2.3? Tell 10.E.t.2 
347 692.754000 HUaweiTe_cf:57:23 Broadcast ARP Who has 10;1.2.32 Tel oT2 


图 2-7 抓 包 观察 


可 以 观察 到 ，PC-2 发 出 了 ARP 广播 ， 却 一 直 没 有 收 到 ARP 响应 。 原 因 是 PC-2 和 
PC-3 分 处 在 两 个 广播 域内 ,PC-2 发 的 ARP 请 求 无 法 跨越 中 间 的 路 由 器 ， 所 以 PC-3 收 
不 到 PC-2 的 ARP 请 求 , PC-2 也 无 法 知晓 目标 主机 PC-3 的 硬件 MAC 地 址 而 导致 数据 
封装 失败 。 

但 R1 如 果 开 启 ARP 代理 之 后 ， 看 是 否 能 够 解决 这 个 问题 。 配 置 arp-proxy enable 
命令 在 路 由 器 的 接口 上 来 开启 ARP 代理 功能 。 


[Rll]interface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]arp-proxy enable 


启用 ARP 代理 之 后 ， 同 样 的 测试 ， 在 PC-2 上 访问 PC-3， 并 在 PC-2 的 EE0/0/1 接口 
抓 包 观 察 ， 如 图 2-8 所 示 。 
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No, Time Source Destination protocol Info 
二 才 .712000 “HuawWejTe_cf:57:23 Broadcast ARP Who has 10.1,2.3? Tell 10.1.1.2 
5 4.743000 HuaneiTes03:besac UAWelT er cE: S7523 ARP 10. i 2.3 is at 00:e0: Fe 03: be: BC 





‘ [ 四 0 


用 Frame 5: 本 i on wire (480 Es 60 Es i i i 
加 Ethernet II, Src: HuUaweiTe_03:be:ac (00;e0:fc:03:be:ac), Dst: HuaweiTe_cf: 57: 23 (54:89:98: cf: 57 23) 


m Adiress REGloE To Protocol (reply) 





Hardware type: Ethernet (0x0001) 

Protocol type: IP (0x0800) 

Hardware size: 6 

Protoco] size: #4 

opcode: reply {0x0002) 

[Is gratuitous: False] 

sender MAC address: HuaweiTe_03:be:ac {00:e0:fc:03:be:ac) 
Sender IP address: 10.1.2.3 (10.1.2.3) 

Target MAC address: HuaweiTe_cf:57:23 (54:89:98:cf:57:23) 
Target IP address: 10.1.1.2 (10.1.1.2) 


图 2-8 抓 包 现象 


可 以 观察 到 ，PC-2 发 出 了 ARP 请 求 并 收 到 了 ARP 响应 ， 但 响应 中 10.1.2.3 所 对 应 
的 硬件 MAC 地 址 并 非 是 PC-3 的 MAC 地 址 ， 而 是 网 关 R1 的 GE 0/0/1 接口 MAC 地 址 。 


在 PC-2 上 查看 ARP 表 。 

PC>arp -a 

Internet Address Physical Address Type 
10.1.2.3 00:=e0-fe-03-be-ac dynamic 


开启 ARP 代理 后 ，PC-2 访问 PC-3 的 工作 过 程 如 下 。 

R1 的 接口 GE 0/0/1 开启 了 ARP 代理 后 ， 收 到 PC-2 的 ARP 广播 请 求 报 文 后 ，R1 
根据 ARP 请 求 中 的 目标 卫 地 址 10.1.2.3 查看 自身 的 路 由 表 中 是 否 有 对 应 的 目标 网 络 ， 
R1 的 GE 0/0/2 接口 就 是 10.1.2.0/24 网 络 , 所 以 , R1 直接 把 自身 的 GE 0/0/1 接口 的 MAC 
地 址 通过 ARP 响应 返回 给 PC-2, PC-2 接收 到 此 ARP 响应 后 使 用 该 MAC 作为 目标 硬件 
地 址 发 送 报 文 给 R1，R1 收 到 后 再 把 报 文 转发 给 PC-3。 

同 理 ，PC-3 要 能 访问 R1 连接 的 其 他 广播 域 的 PC， 也 需要 在 R1 的 GE 0/0/2 接口 上 
开启 ARP 代理 功能 。 


[Rljinterface GigabitEthernet 0/0/2 
[R1-GigabitEthernet0/0/2]arp-proxy enable 
配置 完成 后 ， 测 试 PC-3 与 PC-1 间 的 连通 性 。 
PC>ping 10.1.1.1 
Ping 10.1.1.1:32 data bytes, Press Ctrl_C to break 
From 10.1.1.1: bytes=32 seq=l ttl=127 time=47 ms 
From 10.1.1.1: bytes=32 seq=2 ttl=127 time=47 ms 
From 10.1.1.1; bytes=32 seq=3 ttl=127 time=62 ms 
From 10.1.1.1: bytes=32 seg=4 ttl=127 time=62 ms 
From 10.1.1.1: bytes=32 seq=5 ttl=127 time=78 ms 
--- 10.1.1.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 47/59/78 ms 


可 以 观察 到 ， 通 信和 正常 。 

如 果 他 网 络 过 大 ， 广 播 对 网 络 的 影响 也 相应 增 大 。 在 不 改变 网 络 主机 配置 的 情况 
下 ， 由 管理 员 在 网 络 中 透明 地 插入 一 台 路 由 器 ， 靠 路 由 器 分 割 出 多 个 广播 域 ， 降 低 了 
广播 对 网 络 的 影响 。 在 当前 的 卫 网 络 中 ， 此 种 做 法 并 不 多 见 。 其 缺点 是 主机 间 的 通信 
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会 因为 引入 额外 的 路 由 器 而 延迟 增 大 ， 并 存在 着 瓶颈 问题 ， 所 以 一 般 只 作为 临时 解决 
方案 使 用 。 
思考 


在 ARP 代理 开启 的 情况 下 ， 如 果 在 PC-2 上 ，ping 10.1.2.4 (10.1.2.4 主机 不 存在 )， 
icmp echo 报 文 是 在 PC-2 还 是 R1 路 由 器 丢掉 的 ?为 什么 ? 
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VLAN 基 础 配置 及 Access 接 口 
配置 Trunk 接 口 

理解 Hybrid 接口 的 应 用 

利用 单 臂 路 由 实现 VLAN 间 路 由 
利用 三 层 交 换 机 实现 VLAN 间 路 由 
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3.1 ”VLAN 基础 配置 及 Access 接口 


原理 概述 


早期 的 局 域 网 技术 是 基于 总 线 型 结构 的 。 总 线 型 拓扑 结构 是 由 一 根 单 电缆 连接 着 所 
有 主机 ， 这 种 局 域 网 技术 存在 着 冲突 域 问题 ， 即 所 有 用 户 都 在 一 个 冲突 域 中 ， 那 么 同一 
时 间 内 只 有 一 台 主 机 能 发 送 消息 ， 从 任意 设备 发 出 的 消息 都 会 被 其 他 所 有 主机 接收 到 ， 
用 户 可 能 收 到 大 量 不 需要 的 报 文 ， 而 且 所 有 主机 共享 一 条 传输 通道 ， 任 意 主 机 之 间 都 可 
以 直接 互相 访问 ， 无 法 控制 信息 的 安全 。 

为 了 避免 冲突 域 ， 同 时 扩展 传统 局 域 网 以 接 入 更 多 计算 机 ， 可 以 在 局 域 网 中 使 用 二 
层 交 换 机 。 交 换 机 能 有 效 隔离 冲突 域 ， 但 是 由 于 所 有 计算 机 仍 处 于 同一 个 广播 域 ， 任 意 
设备 都 能 接收 到 所 有 报 文 ， 不 但 降低 了 网 络 的 效率 ， 而 且 降 低 了 安全 性 ， 即 广播 域 和 信 
息 安全 问题 依旧 存在 。 为 了 能 减少 广播 ， 提 高 局 域 网 安全 性 ， 人 们 使 用 虚拟 局 域 网 即 
VLAN 技术 把 一 个 物理 的 LAN 在 逻辑 上 划分 成 多 个 广播 域 。VLAN 内 的 主机 间 可 以 直 
接 通 信 ， 而 VLAN 间 不 能 直接 互通 。 这 样 ， 广 播报 文 被 限制 在 一 个 VLAN 内 ， 同 时 也 
提高 了 网 络 安全 性 。 不 同 的 VLAN 使 用 不 同 的 VLAN ID 区 分 ，VLAN ID 的 范围 是 0 一 
4095， 可 配置 的 值 为 1~ 一 4094，0 和 4095 为 保留 值 。 

Access 接口 是 交换 机 上 用 来 连接 用 户主 机 的 接口 。 当 Access 接口 从 主机 收 到 一 个 不 
带 VLAN 标签 的 数据 由 时， 会 给 该 数据 帧 加 上 与 PVID 一 致 的 VLAN 标签 (PVID 可 手 
工 配置 ， 默 认 是 1， 即 所 有 交换 机 上 的 接口 默认 都 属于 VLAN 1)。 当 Access 接口 要 发 送 
一 个 带 VLAN 标签 的 数据 帧 给 主机 时 ， 首 先 检查 该 数据 帧 的 VLAN ID 是 否 与 自己 的 
PVID 相同 ， 若 相同 ， 则 去 掉 VLAN 标签 后 发 送 该 数据 帧 给 主机 ， 若 不 相同 ， 直 接 丢 弃 
该 数据 帧 。 


实验 目的 


。 理解 VLAN 的 应 用 场景 

e 掌握 VLAN 的 基本 配置 

。 掌握 Access 接口 的 配置 方法 

e 掌握 Access 接口 加 入 相应 VLAN 的 方法 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。 公 司 内 网 是 一 个 大 的 局 域 网 ， 二 层 交 换 机 S1 放置 在 一 
楼 ， 在 一 楼 办 公 的 部 门 有 IT 部 和 人 事 部 ， 二 层 交换 机 S2 放置 在 二 楼 ， 在 二 楼 办 公 的 部 
门 有 市 场 部 和 研发 部 。 由 于 交换 机 组 成 的 是 一 个 广播 网 ， 交 换 机 连接 的 所 有 主机 都 能 互 
相通 信 ， 而 公司 策略 是 : 不 同 部 门 之 间 的 主机 不 能 互相 通信 ， 同 一 部 门 内 的 主机 才 可 以 
互相 访问 。 因 此 需要 在 交换 机 上 划分 不 同 的 VLAN， 并 将 连接 主机 的 交换 机 接口 配置 成 
Access 接口 划分 到 相应 VLAN 内 。 
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实验 拓扑 
VLAN 基础 配置 及 Access 接口 拓扑 如 图 3-1 所 示 。 
1 楼 2 楼 
SI S2 
Ethernet 0/0/1 a Ethernet 0/0/5 =e Ethernet 0/0/2 
mw 。 | 将 row 。 区 reo2 [下 apm 
sm Ethernet 0/0/1 Ethernet 0/0/5 Ethernet 0/0/] 一 
PC-1 PC-5 
10.1.L 1 VEAN 10 Ethernet 0/0/3 Ethemet ool rom am 
Ethernet 0/0/2 
Ethernet 0/0/1 Ethernet 0/0/1 
Ethernet 0/0/] 
= 市 场 部 
开 部 人 事 部 
PC-2 PC-3 PC-4 
10.1.1.2 VLAN 10 10.1.1.3 VLAN 20 10.1.1.4 VLAN 30 
图 3-1 VLAN 基础 配置 及 Access 接口 拓扑 
实验 编 址 
实验 编 址 见 表 3-1 D 
表 3-1 实验 编 址 


| Ethemetool | 101L1 | 255.255.2550 | 


实验 步骤 


1， 基本 配置 
根据 实验 编 址 进行 相应 的 基本 IP 地 址 配置 ， 在 此 步骤 中 不 要 为 交换 机 创建 任何 的 
VLAN。 
使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 ， 所 有 的 PC 都 能 相互 通信 。 
[PC]ping -c 1 10.1.1.2 
PING 10.1.1.2: 56 data bytes, press CTRL C to break 
Reply from 10.1.1.2: bytes=56 Sequence=] ttl=255 time=50 ms 
--- 10.1.1.2 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 50/50/50 ms 


其 他 主机 间 互 相通 信 测 试 和 上 述 相 同 ， 略 过 。 
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2. 创建 VLAN 

除 默认 VLAN 1 外 ， 其 余 VLAN 需要 通过 命令 来 手工 创建 。 创 建 VLAN 有 两 种 方 
式 , 一 种 是 使 用 vlan 命令 一 次 创建 单个 VLAN, 另 一 种 方式 是 使 用 vlan batch 命令 一 次 
创建 多 个 VLAN。 

在 S1 上 使 用 两 条 命令 分 别 创建 VLAN 10 和 VLAN 20。 


[SI1Jvlan 10 

[S1-vlan10]vlan 20 

在 S2 上 使 用 一 条 vlan bath 命令 创建 VLAN 30 和 VLAN 40。 

[S2]vlan batch 30 40 

配置 完成 后 ， 在 S1 和 S2 上 使 用 display vlan 命令 查看 VLAN 的 相关 信息 。 
[Sljdisplay vlan 

Thetotal number of vlans is :3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; #: Management-vlan; 


1 common UT:Eth0/0/1(D) Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D) 
Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) 
Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) 
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) 
Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) 
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D) 

10 common 

20 common 


[S21]display vlan 
The total number of vlans is : 3 


U: Up; D: Down'; TG: Tagged; UT: Untageed; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *: Management-vlan: 


1 common UT:Eth0/0/1(D) Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D) 
Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) 
Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) 
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) 
Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) 
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D) 

30 common 

40 common 


可 以 观察 到 ，S1 和 S2 都 已 经 成 功 创建 了 相应 VLAN， 但 目前 没有 任何 接口 加 入 所 
创建 的 VLAN 10 与 20 中 ， 默 认 情 况 下 交换 机 上 所 有 接口 都 属于 VLAN 1。 

3. 配置 Access 接口 

按照 拓扑 ， 使 用 port link-type access 命令 配置 所 有 Sl 和 S2 交换 机 上 连接 PC 的 接 
口 类 型 为 Access 类 型 接口 , 并 使 用 port default vlan 命令 配置 接口 的 默认 VLAN 并 同时 
加 入 相应 VLAN 中 。 默 认 情况 下 ， 所 有 接口 的 默认 VLAN ID 为 1。 
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[Sllinterface ethernet0/0/1 
[S1-Ethernet0/0/1]port link-type access 
[S1-Ethernet0/0/1]port default vlan 10 
[Sl1-Ethernet0/0/1 linterface ethernet0/0/2 
[Sl1-Ethermet0/0/2]port link-type access 
[SI-Ethernet0/0/2]port default vlan 10 
[S1-Ethernet0/0/2]interface ethernet0/0/3 
[S1-Ethernet0/0/3]port link-type access 
[S1-Ethernet0/0/3]port default vlan 20 


[S2]interface ethernet0/0/1 
[S2-Ethernet0/0/1]port link-type access 
[S2-Ethernet0/0/11]port default vlan 30 
[S2-Ethernet0/0/1 linterface ethermnet0/0/2 
[S2-Ethernet0/0/2]port link=type access 
[S2-Ethernet0/0/2]port default vlan 40 


配置 完成 后 ， 查 看 S1 与 S2 上 的 VLAN 信息 。 
[Slldisplay vlan 


The total number of vlans is : 3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *; Management-vlan; 


VID Type Ports 


1 common UT:Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) 
Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) 
Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) 
Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) 
Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) 
GE0/0/2(D) 

10 common UT:Eth0/0/1(D) Eth0/0/2(D) 


20 common UT:Eth0/0/3(D) 


[$2]display vlan 
The total number of vlans is : 3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *; Management-vlan; 


I common UT:Eth0/0/3(D) Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) 
Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) 
Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) 
Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) 
Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) 
GE0/0/1(D) GE0/0/2(D) 


30 common UT:Eth0/0/1(D) 
40 common UT:Eth0/0/2(D) 


可 以 观察 到 ,目前 两 台 交 换 机 上 连接 PC 的 接口 都 已 经 加 入 到 相应 所 属 部 门 的 VLAN 
当中 。 

4. 检查 配置 结果 

在 交换 机 上 将 不 同 接 口 加 入 各 自 不 同 的 VLAN 中 后 ， 属 于 相同 VLAN 的 接口 处 于 
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同一 个 广播 域 ， 相 互 之 间 可 以 直接 通信 。 属 于 不 同 VLAN 的 接口 是 处 于 不 同 的 广播 域 ， 
相互 之 间 不 能 直接 通信 。 
在 本 实验 环境 中 ， 只 有 同属 于 IT 部 门 VLAN 10 的 两 台 主 机 PC-1 和 PC-2 之 间 可 以 
. 互相 通信 。 其 他 不 同 部 门 间 的 PC 之 间 将 无 法 通信 。 
在 IT 部 门 的 终端 PC-1 上 分 别 测试 与 同 部 门 的 终端 PC-2、HR 部 门 的 PC-3 间 的 连通 性 。 
PC>ping -c 1 10.1.1.2 
PING 10.0.1.2: 56 data bytes, press CTRL C to break 
Reply from 10.1.1.2: bytes=56 Sequence=] ttl=255 time=50 ms 
--- 10.1.1.2 ping statistics --- 
] packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 50/50/50 ms 


PC>ping 10.1.1.3 

From 0.0.0.0: Destination host unreachable 
From 0.0.0.0: Destination host unreachable 
From 0.0.0.0; Destination host unreachable 
From 0.0.0.0; Destination host unreachable 
From 0.0.0.0: Destination host unreachable 


可 以 观察 到 , 相同 VLAN 内 的 PC 可 以 互相 通信 , 不 同 VLAN 内 的 PC 间 无 法 通信 。 
思考 


在 本 实验 中 ， 如 果 将 $2 的 接口 E 0/0/5 配置 为 Access 类 型 接口 ， 并 划 入 VLAN 30 
中 ， 此 时 PC-1 能 否 ping 通 PC-4? PC-1 能 否 ping 通 PC-5? 为 什么 ? 


3.2 配置 Trunk 接口 


原理 概述 


在 以 太 网 中 ， 通 过 划分 VLAN 来 隔离 广播 域 和 增强 网 络 通信 的 安全 性 。 以 太 网 通常 由 
多 台 交 换 机 组 成 ， 为 了 使 VLAN 的 数据 帧 跨越 多 人 台 交 换 机 传递 ， 交 换 机 之 间 互 连 的 链 路 需 
要 配置 为 干道 链 路 (Trunk Link)。 和 接 入 链 路 不 同 ， 干 道 链 路 是 用 来 在 不 同 的 设备 之 间 〈 如 
交换 机 和 路 由 器 之 间 、 交 换 机 和 交换 机 之 间 ) 承载 多 个 不 同 VLAN 数据 的 ， 它 不 属于 任何 一 
个 具体 的 VLAN， 可 以 承载 所 有 的 VLAN 数据 ， 也 可 以 配置 为 只 能 传输 指定 VLAN 的 数据 。 

Trunk 端口 一 般 用 于 交换 机 之 间 连 接 的 端口 ，Trunk 端口 可 以 属于 多 个 VLAN， 可 以 
接收 和 发 送 多 个 VLAN 的 报 文 。 

当 Trunk 端口 收 到 数据 帧 时 ,如果 该 帧 不 包含 802.1Q 的 VLAN 标签 ,将 打上 该 Trunk 
端口 的 PVID; 如 果 该 帧 包含 802.1Q 的 VLAN 标签 ， 则 不 改变 。 

当 Trunk 端口 发 送 数据 帧 时 ， 当 该 所 发 送 帧 的 VLAN ID 与 端口 的 PVID 不 同时 , 检 
查 是 否 允 许 该 VLAN 通过 ,车 允许 的 话 直 接 透 传 ， 不 允许 就 直接 丢弃 ; 当 该 帧 的 VLAN 
ID 与 端口 的 PVID 相同 时 ， 则 剥离 VLAN 标签 后 转发 。 
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实验 目的 


e 理解 干道 链 路 的 应 用 场景 

e 掌握 Trunk 端口 的 配置 

e 掌握 Trunk 端口 允许 所 有 VLAN 通过 的 配置 方法 
e 掌握 Trunk 端口 允许 特定 VLAN 通过 的 配置 方法 


实验 内 容 


本 实验 模拟 某 公 司 网 络 场景 。 公 司 规模 较 大 ， 员 工 200 余 名 ， 内 部 网 络 是 一 个 大 的 
局 域 网 。 公 司 放置 了 多 台 接 入 交换 机 (如 S1 和 S2) 负责 员工 的 网 络 接 入 。 接 入 交换 机 
之 间 通 过 汇聚 交换 机 S3 相连 。 公 司 通过 划分 VLAN 来 隔离 广播 域 ， 由 于 员工 较 多 ， 相 
同 部 门 的 员工 通过 不 同 交 换 机 接 入 。 为 了 保证 在 不 同 交 换 机 下 相同 部 门 的 员工 能 互相 通 
信 ， 需 要 配置 交换 机 之 间 链 路 为 干道 模式 ， 以 实现 相同 VLAN 跨 交换 机 通信 。 


实验 拓扑 
跨 交 换 机 实现 VLAN 间 通 信 的 拓扑 如 图 3-2 所 示 。 

































S3 
ee 大 人 
S1 相 时 Ethemet 0/0/1 Ethernet 0/0/2 “mw 
Ethemet 0/0/2 Ethernet 0/0/4 
Ethernet 0/0/3 Bthemet 0/0/3 

Ethemet 0/0/1 Ethernet 0/0/1 Ethernet 0/0/1 Ethemet 0/0/1 

研发 部 |[ 研发 部 市 场 部 | 

PC-1 PC-2 PC-3 PC-4 
10.1.1.1VLAN 10 10.1.1.2 VLAN 20 10.1.1.3 VLAN 10 10.1.1;4 VLAN 20 


图 3-2” 跨 交 换 机 实现 VLAN 间 通 信和 拓扑 


实验 编 址 


实验 编 址 见 表 3-2。 
表 3-2 实验 编 址 


Ethernet 0/0/1 


Ethernet 0/0/1 
Ethernet 0/0/1 
Ethernet 0/0/1 
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实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。 在 没有 完成 划分 VLAN 之 前 各 PC 之 间 都 能 互通 (属于 默认 VLAN 1)。 
这 里 以 PC-1 与 PC-3 的 ping 测试 为 例 ， 其 余 省 略 。 
PC>ping 10.1.1.3 
Ping 10.1.1.3: 32 data bytes, Press Ctr] C to break 
Erom 10.1.1.3; bytes=32 seg=] ttl=128 time=62 ms 
From 10.1.1.3: bytes=32 seq=2 ttl=128 time=62 ms 
From 10.1.1.3; bytes=32 seq=3 tt]=128 time=62 ms 
From 10.1.1.3: bytes=32 seq=4 ttl=128 time=78 ms 
From 10.1.1.3: bytes=32 seq=5 ttl=128 time=78 ms 
--- 10.1.1.3 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 30/68/120 ms 


2. 创建 VLAN， 配 置 Access 接口 

公司 内 网 需要 通过 VLAN 的 划分 来 隔离 不 同 的 部 门 ， 需 要 在 3 台 交 换 机 S1、S2、53 
上 都 分 别 创建 VLAN 10 和 VLAN 20, 研 发 部 员工 属于 VLAN 10, 市 场 部 员工 属于 VLAN 20。 

[Si]vlan 10 

[Sl-vlaniOldescription RSD 


[S1-vlan10]vlan 20 
[Sl-vlan20]description Market 


[S2]vlan 10 
[S2-vlan10]description R$D 
[S2-vlanl0jvlan 20 
[S2-vlan20]description Market 


[S3]vlan 10 
[S3-vlanl10]description RSD 
[S3-vlanl0l]vlan 20 
[S3-vlan20]description Market 


配置 完成 后 ， 使 用 display vlan 命令 查看 所 配置 的 VLAN 信息 ， 以 S3 为 例 。 
<S3>display vlan 


The total number of vlans is ;3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST; Vian-stacking; 
#: ProtocolTransparent-vlan; *; Management-vlan; 


1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) 
GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) 
GE0/0/13(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) 
GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) 
GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 
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10 common 
20 common 


VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 
10 enable default enable disable RS$D 
20 enable default enable disable Market 
可 以 观察 到 相关 的 VLAN 都 已 经 配置 好 。 也 可 以 使 用 display vlan summary 命令 查 
看 所 配置 VLAN 的 简要 信息 。 
<S3>display vlan summary 
static vlan: 
Total 3 static vlan. 
11020 
dynamic vlan: 
Total 0 dynamic vlan. 
reserved vlan: 


Total 0 reserved vlan. 


在 Sl 上 配置 E0/0/2 和 0/0/3 为 Access 接口 ， 并 划分 到 相应 的 VLAN。 


[Sllinterface Ethernet0/0/2 
[S1-Ethernet0/0/2]port link-type access 
[Sl1-Ethernet0/0/2]port default vlan 10 


[Sllinterface Ethernet0/0/3 
[S$1-Ethernet0/0/3]port link-type access 
[Sl1-Ethernet0/0/3]port default vlan 20 


在 S2 上 配置 E 0/003 和 E0/0/4 为 Access 接口 ， 并 划分 到 相应 的 VLAN。 


[S2]interface Ethernet0/0/3 
[S2-Ethemet0/0/3]port link-type access 
[S2-Ethernet0/0/3]port default vlan 10 


[S2]interface Ethernet0/0/4 
[S2-Ethernet0/0/4]port link-type access 
[S2-Ethernet0/0/4]port default vlan 20 


配置 完成 后 ， 使 用 display port vlan 命令 检查 VLAN 和 接口 配置 情况 。 


[S1]jdisplay port vlan 

Port Link Type PVID Trunk VLAN List 
Ethernet0/0/1 hybrid 1 

Ethernet0/0/2 AaCcCess 10 

Ethernet0/0/3 aCcess 20 上 

[S21]display port vlan 

Port Link Type PVID Trunk VLAN List 
Ethernet0/0/1 hybrid 1 

Ethernet0/0/2 hybrid 1 

Ethernet0/0/3 acCcesSS 10 = 

Ethernet0/0/4 accesS 20 - 


可 以 观察 到 PC 所 连接 的 交换 机 接口 都 已 经 被 配置 成 Access 模式 ， 并 且 已 经 加 入 到 
了 正确 的 VLAN 中 。 

3. 配置 Trunk 接口 

将 PC 所 连 入 的 交换 机 接口 划 入 到 相应 的 部 门 YLAN 后 ， 测 试 相同 部 门 中 的 PC 是 
否 能 够 通信 。 

测试 PC-1 与 PC-3 之 间 的 连通 性 。 
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PC>ping 10.1.1.3 

Ping 10.1.1.3: 32 data bytes, Press Ctrl _Cto break 
From 10.1.1.1: Destination host unreachable 

From 10.1.1.1: Destination host unreachable 

From 10.1.1.1: Destination host unreachable 

From 10.1.1.1: Destination host unreachable 
From 10.1.1.1: Destination host unreachable 


测试 PC-2 与 PC-4 之 间 的 连通 性 。 
PC>ping 10.1.1.4 

Ping 10.1.1.4: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.2: Destination host unreachable 

From 10.1.1.2: Destination host unreachable 

From 10.1.1.2: Destination host unreachable 

From 10.1.1.2: Destination host unreachable 

From 10.1.1.2: Destination host unreachable 


可 以 观察 到 此 时 同 部 门 的 PC 间 不 能 通信 。 

目前 在 该 跨 交 换 机 实现 不 同 VLAN 通信 的 二 层 组 网 拓扑 中 ， 虽 然 与 PC 端 相连 的 交 
换 机 接口 上 创建 并 划分 了 VLAN 信息 , 但 是 在 交换 机 与 交换 机 之 间 相 连 的 接口 上 并 没有 
相应 的 VLAN 信息 ， 不 能 够 识别 和 发 送 跨越 交换 机 的 VLAN 报 文 ， 此 时 VLAN 只 具有 
在 每 台 交 换 机 上 的 本 地 意义 ， 无 法 实现 相同 VLAN 的 跨 交 换 机 通信 。 

为 了 让 交换 机 间 能 够 识别 和 发 送 跨越 交换 机 的 VLAN 报 文 ， 需 要 将 交换 机 间 相 连 的 接口 
配置 成 为 Trunk 接口 。 配 置 时 要 明确 被 允许 通过 的 VLAN， 实 现 对 VLAN 流量 传输 的 控制 。 

在 Sl1 上 配置 E0/0/1 为 Trunk 接口 ， 允 许 VLAN 10 和 VLAN 20 通过 。 


{Sll]interface Ethermet0/0/1 
[S1-Ethernet0/0/1]jport link-type trunk 
[S1-Ethernet0/0/1]port trunk allow-pass vlan 10 20 


在 S2 上 配置 E 0/0/2 为 Trunk 接口 ， 人 允许 VLAN 10 和 VLAN 20 通过 。 


[S2]jinterface Ethernet0/0/2 
[$2-Ethernet0/0/2]port link-type trunk 
[S2-Ethernet0/0/2]port trunk allow-pass vlan 10 20 


在 S3 上 配置 GE 0/0/1 和 GE 0/0/2 为 Trunk 接口 ， 人 允许 所 有 VLAN 通过 。 


[S3]interface GigabitEthernet0/0/1 
[S3-GigabitEthernet0/0/1]port link-type trunk 
[S3-GigabitEihernet0/0/1]port trunk allow-pass vlan all 


[S3]interface GigabitEthernet0/0/2 
[S3-GigabitEthernet0/0/2]port link-type trunk 
[S$3-GigabitEthernet0/0/2]port trunk allow-pass vlan all 


配置 完成 后 可 以 使 用 display port vlan 命令 来 检查 Trunk 的 配置 情况 ,这 里 以 S3 为 例 。 


[S3]display port vlan 

Port LinkType PVID Trunk VLAN List 
GigabitEthernet0/0/1 trunk 1 1-4094 
GigabitEthernet0/0/2 trunk 1 1-4094 


可 以 观察 到 S3 的 GE 0/0/1 和 GE0/0/2 已 被 成 功 配置 为 Trunk 接口 ， 并 且 人 允许 所 有 
VLAN 流量 通过 (VLAN 1 一 4094)。 

再 次 验证 不 同 交换 机 上 的 相同 部 门 的 PC 间 的 连通 性 。 

测试 PC-1 与 PC-3 之 间 的 连通 性 。 
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PC>ping 10.1.1.3 
Ping 10.1.1.3: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.3: bytes=32 seq=] ttl=128 time=46 ms 
From 10.1.1.3: bytes=32 seq=2 ttl=128 time=78 ms 
From 10.1.1.3: bytes=32 Seq=3 ttl=128 time=78 ms 
From 10.1.1.3: bytes=32 seq=4 tt=128 time=46 ms 
From 10.1.1.3: bytes=32 seq=5 ttl=128 time=47 ms 
-- 10.1.1.3 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 
round-trip min/ayg/max = 30/68/120 ms 
测试 PC-2 与 PC-4 之 间 的 连通 性 。 
PC>ping 10.1.1.4 
Ping 10.1.1.4: 32 data bytes, Press Ctrl _C to break 
From 10.1.1.4: bytes=32 seq=] ttl=128 time=46 ms 
From 10.1.1.4: bytes=32 seq=2 tt=128 time=47 ms 
From 10.1.1.4: bytes=32 seq=3 ttl=128 time=46 ms 
From 10.1.1.4: bytes=32 seq=4 ttl=128 time=78 ms 
From 10.1.1.4: bytes=32 seq=5 ttl=128 time=63 ms 
— 10.1.1.4 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 
round-trip min/avg/max = 30/68/120 ms 


可 以 观察 到 此 时 同 部 门 中 的 PC 已 经 能 成 功 通信 。 
思考 
连接 PC 的 交换 机 接口 也 可 以 配置 成 Trunk 接口 吗 ? 为 什么 ? 


3.3 理解 Hybrid 接口 的 应 用 


原理 概述 


Hybrid 接口 既 可 以 连接 普通 终端 的 接 入 链 路 又 可 以 连接 交换 机 间 的 干道 链 路 ， 它 允 
许多 个 VLAN 的 帧 通过 ， 并 可 以 在 出 接口 方向 将 某 些 VLAN 帧 的 标签 剥 掉 。 

Hybrid 接口 处 理 VLAN 帧 的 过 程 如 下 : 

(1) 收 到 一 个 二 层 帧 ， 判 断 是 否 有 VLAN 标签 。 没 有 标签 ， 则 标记 上 Hybrid 接口 
的 PVID， 进 行 下 一 步 处 理 ， 有 标签 ， 判 断 该 Hybrid 接口 是 否 允 许 该 VLAN 的 帧 进入 ， 
允许 则 进行 下 一 步 处 理 ， 否 则 丢弃 。 

(2) 当 数 据 帧 从 Hybrid 接口 发 出 时 , 交换 机 判断 VLAN 在 本 接口 的 属性 是 Untagged 
还 是 Tagged。 如 果 是 Untagged， 先 剥离 帧 的 VLAN 标签 ， 再 发 送 ， 如 果 是 Tagged， 则 
直接 发 送 帧 。 

通过 配置 Hybrid 接口 ， 能 够 实现 对 VLAN 标签 的 灵活 控制 ， 既 能 够 实现 Access 接 
口 的 功能 ， 又 能 够 实现 Trunk 接口 的 功能 。 
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实验 目的 


。 掌握 配置 Hybrid 接口 的 方法 

e 理解 Hybrid 接口 处 理 Untagged 数据 帧 过 程 
e 理解 Hybrid 接口 处 理 Tagged 数据 帧 过 程 

e 理解 Hybrid 接口 的 应 用 场景 


实验 内 容 


某 企 业 二 层 网 络 使 用 两 台 S3700 交换 机 S1 和 S2， 且 两 台 设 备 在 不 同 的 楼 层 。 网 络 
管理 员 规 划 了 3 个 不 同 VLAN，HR 部 门 使 用 VLAN 10, 市 场 部 门 使 用 VLAN 20, IT 部 
门 使 用 VLAN 30。 现 在 需要 让 处 于 不 同 楼 层 的 HR 部 门 和 市 场 部 门 实现 部 门 内 部 通信 ， 
而 两 部 门 之 间 不 允许 互相 通信 ; IT 部门 可 以 访问 任意 部 门 。 可 以 通过 配置 Hybrid 接口 
来 实现 较 复 杂 的 VLAN 控制 。 


实验 拓扑 
理解 Hybrid 接口 的 应 用 拓扑 如 图 3-3 所 示 。 





S2 


ey 


Ethernet 0/0/3 






Ethernet 0/0/1 






Ethernet 0/0/1 





Ethemet 0/0/2 


Ethernet 0/0/2 Ethernet 0/0/3 





Ethernet 0/0/1 





Ethemet 0/0/] 


图 3-3 理解 Hybrid 接口 的 应 用 拓扑 


实验 编 址 
实验 编 址 见 表 3-3。 
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表 3-3 实验 编 址 













Ethernet 0/0/1 192.168.1.4 255.255.255:0 
Ethernet 0/0/1 192.168.1.100 255.255.255.0 


实验 步骤 
1. 基本 配置 
按照 实验 编 址 表 为 PC 配置 IP 地 址 ， 如 图 3-4 所 示 的 配置 过 程 适 用 于 所 有 终端 。 
PC | 


Basic Consg Command | MCPacke | UdpPackaet 


Most Nome: FF: 
MAC Address: [Er 


tPv4 Configuration 


人 save CT DHCp 再 cbesn DN yorver sorecs ytomotr olly 
WP Address: 192 ,18 1 ,1! DNSL i 
Sbnetkask: [355,255 ,255 0 DNS2 -i EC 
Gatenay: WY 

Pyvé Configuration 

他 Statc © DCpv6 











图 3-4 PC-1 配置 界面 


完成 配置 后 ， 测 试 主机 之 间 的 连通 性 。 
在 PC-1 上 ， 使 用 ping 命令 。 


PC>ping 192.168.1.2 
Ping 192.168.1.2: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.2: bytes=32 seq=] ttl=128 time=15 ms 
From 192.168.1.2; bytes=32 seq=2 ttl=128 time<l ms 
From 192.168.1.2; bytes=32 seq=3 ttl=128 time<] ms 
From 192.168.1.2: bytes=32 seq=4 ttl=128 time=15 ms 
From 192.168.1.2: bytes=32 seq=5 ttl=128 time<l ms 
— 192.168.1.2 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/ayg/max = 0/6/15 ms 


可 以 观察 到 ， 此 时 PC-1 访问 其 他 主机 通信 正常 ， 其 他 主机 上 的 测试 过 程 省 略 。 
在 没有 定义 VLAN 及 接口 类 型 之 前 ， 默 认 情况 下 ， 交 换 机 上 所 有 接口 都 是 Hybrid 
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类 型 ， 接 口 的 PVID 是 VLAN 1， 即 所 有 接口 收 到 没有 标签 的 二 层 数 据 帧 ， 都 被 转发 到 
VLAN 1 中 ， 并 继续 以 Untagged 的 方式 把 帧 发 送 至 同 为 VLAN 1 的 其 他 接口 。 所 以 ， 即 
使 未 做 任何 配置 ， 主 机 之 间 默 认 仍 然 可 以 互相 通信 。 

在 S1 上 使 用 display port vlan 命令 查看 接口 的 默认 类 型 。 


<S1>display port vlan 

Port LinkType PVID Trunk VLAN List 
Ethernet0/0/1 hybrid 1 

Ethernet0/0/2 hybrid I 

Ethernet0/0/3 hybrid | 

Ethernet0/0/4 hybrid 1 

Ethernet0/0/5 hybrid 1 

Ethernet0/0/6 hybrid 1 


可 以 观察 到 ， 接 口 默认 是 Hybrid 类 型 ， 接 口 PVID 是 VLAN 1， 其 他 接口 也 一 样 
在 交换 机 上 使 用 display vlan 命令 查看 接口 和 所 属 VLAN 的 对 应 关系 。 

[Slldisplay vlan 

The total number of vlans is: 1 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *; Management-vlan; 


1 common UT:Eth0/0/1(U) Eth0/0/2(U) Eth0/0/3(U) Eth0/0/4(U) 
Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) 
Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) 
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) 
Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) 
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D) 


VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 


可 以 观察 到 ， 所 有 接口 都 默认 属于 VLAN 1， 其 他 交换 机 也 都 一 样 ， 因 此 VLAN 1 
内 所 有 的 主机 都 可 以 直接 访问 。 

2. 实现 组 内 通信 、 组 间隔 离 

交换 机 接口 的 类 型 可 以 是 Access、Trunk 和 Hybrid。Access 类 型 的 接口 仅 属 于 一 个 
VLAN， 只 能 接收 、 转 发 相应 VLAN 的 帧 ; 而 Trunk 类 型 接口 则 默认 属于 所 有 VLAN， 
任何 Tagged 帧 都 能 经 过 Trunk 接收 和 转发 ; Hybrid 类 型 接口 则 介 于 二 者 之 间 , 可 自主 定 
义 端口 上 能 接收 和 转发 哪些 VLAN Tag 的 帧 ， 并 可 决定 VLAN Tag 是 否 继续 携带 或 者 剥 
离 。Access 和 Trunk 类 型 接口 是 Hybrid 类 型 接口 的 两 个 特例 ， 一 个 仅 支持 一 个 VLAN 
的 传递 ,一 个 默认 支持 所 有 VLAN 的 传递 ,而 Access 类 型 和 Trunk 类 型 的 接口 能 做 到 的 ， 
Hybrid 接口 都 能 做 到 。 

目前 要 求实 现 HR 部 门 和 市 场 部 门 的 员工 终端 可 以 进行 部 门 内 部 通信 , 即 VLAN 10 
内 PC-2 和 PC-4 之 间 可 以 自由 访问 , VLAN 20 内 PC-1 和 PC-3 之 间 可 以 自由 访问 , 而 两 
个 部 门 间 的 员工 不 能 互相 访问 ， 即 VLAN 10 和 VLAN 20 之 间 不 能 互相 访问 。 要 实现 此 


第 3 章 VLAN 69 


需求 ， 可 以 使 用 Access 和 Trunk 的 配置 方法 ， 也 可 以 仅 使 用 Hybrid 的 配置 方法 。 

使 用 Trunk 和 Access 类 型 接口 的 配置 过 程 如 下 。 

将 Sl1 上 的 E 0/0/2 和 S2 上 的 E 0/0/2 配置 为 Access 类 型 ， 并 将 相应 的 接口 加 入 到 
VLAN 20。 同 理 , 将 S1 上 的 E 0/0/3 和 S2 上 的 E 0/0/3 也 配置 为 Access 类 型 接口 ， 并 
加 入 到 VLAN 10。 而 交换 机 之 间 的 互 连 链 路 的 两 个 E 0/0/1 接口 则 配置 为 Trunk 类 型 。 


[S1]vlan 10 

[S1-vlan10]vlan 20 

[Sl-vlan20]interface Ethernet0/0/3 
[S1-Ethernet0/0/3]port link-type access 
[S$1-Ethernet0/0/3]port default vlan 10 
[S1-Ethemet0/0/3]interface ethernet0/0/2 
[S1-Ethernet0/0/2jport link-type access 
[S1-Ethernet0/0/2]port default vlan 20 
[S1-Ethernet0/0/2]interface Ethernet0/0/1 
[S1-Ethernet0/0/1]port link-type trunk 
[S1-Ethernet0/0/1]port trunk allow-pass vlan all 


[S2]ylan 10 

[S2-vlanl0]vlan 20 

[S2-vlan10jinterface Ethernet0/0/3 
[S2-Ethernet0/0/3jport link-type access 
[S2-Ethernet0/0/3]port default vlan 10 
[S2-Ethernet0/0/3]interface ethernet0/0/2 
[S2-Ethernet0/0/2]port link-type access 
[S2-Ethernet0/0/2]port default vlan 20 
[S2-Ethernet0/0/2]interface ethernet0/0/1 
[S2-Ethernet0/0/1]port link-type trunk 
[S2-Ethernet0/0/1jport trunk allow-pass vlan all 


配置 完成 后 ， 查 看 接口 和 VLAN 的 对 应 关系 。 


[Sl]display vlan 

The total number of vlans js :3 

U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 

#: ProtocolTransparent-vlan; *: Management-vlan; 


I common UT:Eth0/0/1(U) Eth0/0/4(U) Eth0/0/5(D) Eth0/0/6(D) 
Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) 
Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) 
Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) 
Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) 
GE0/0/1(D) GE0/0/2(D) 

10 common UT:Eth0/0/3(U) 

20 common UT:Eth0/0/2(U) 


VID Status Property MAC-LRN Statistics Description 
] enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


[S21]display vlan 
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The total number of vlans is :3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *; Management-vlan; 


Do od 8 mt i eh i cea 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


1 common UT:Eth0/0/1(U) Eth0/0/4(D) Eth0/0/5(D) Eth0/0/6(D) 
Eth0/0/7(D) Eth0/0/8(D) Eth0/0/9(D) Eth0/0/10(D) 
EthO/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D) 
Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D) 
Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D) 
GE0/0/1(D) GE0/0/2(D) 

10 common UT:Eth0/0/3(U) 

20 common UT:Eth0/0/2(U) 


VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


可 以 观察 到 ， 配 置 已 经 生效 。 
在 PC-1 上 测试 与 同 VLAN 20 的 PC-3 的 连通 性 , 以 及 与 VLAN 10 内 终端 的 连通 性 。 
PC>ping 192.168.1.3 
Ping 192.168.1.3: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.3: bytes=32 seq=] ttl=128 time=47 ms 
From 192.168.1.3:bytes=32 seq=2 ttl=128 time=31 ms 
From 192.168.1.3: bytes=32 seq=3 ttl=128 time=46 ms 
From 192.168.1.3: bytes=32 seq=4 ttl=128 time=31 ms 
From 192.168.1.3: bytes=32 seq=5 ttl=128 time=31 ms 
--- 192.168.1.3 ping statistics --- 

5 packet(s) transmitted 

S packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 31/37/47 ms 


PC>ping 192.168.1.4 

Ping 192.168.1.4; 32 data bytes, Press Ctrl_C to break 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 


EE 


可 以 观察 到 , 在 单 台 交换 机 及 路 交换 机 间 的 访问 控制 使 用 Trunk 和 Access 类 型 接口 
实现 了 需求 ， 但 同样 的 需求 使 用 Hybrid 实现 会 更 灵活 。 

S1 的 E 0/0/2 接口 连接 PC-1 主机 ， 该 接口 收 到 的 PC-1 发 送 的 Untagged 的 帧 会 被 交 
换 机 转发 到 VLAN 20。 同 样 ， 交 换 机 从 其 他 接口 收 到 VLAN 20 的 发 往 PC-1 的 帧 也 会 以 
Untagged 的 方式 从 E 0/0/2 接口 发 送 。S1 的 EE 0/0/3 接口 连接 PC-2 主机 ， 该 接口 收 到 
Untagged 的 帧 会 被 转发 到 VLAN 10。 如 果 交 换 机 收 到 的 VLAN 10 的 发 往 PC-2 的 帧 也 会 
以 Untagged 的 方式 从 接口 E 0/0/3 发 送 。VLAN 10 和 VLAN 20 的 帧 也 要 经 过 交换 机 间 
链 路 发 送 至 邻居 交换 机 S2。 反 之 ，S1 收 到 来 自 邻 居 交 换 机 S2 的 Tagged 的 帧 后 ， 也 会 
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根据 VLAN Tag 转发 到 相应 的 VLAN.。 
在 Sl 的 E0/0/2 接口 上 使 用 undo port default vlan 命令 用 来 恢复 接口 默认 VLAN。 


[Sllinterface ethernet0/0/2 
[S1-Ethernet0/0/2]undo port default vian 


配置 port link-type hybrid 命令 修改 接口 类 型 为 默认 的 Hybrid 类 型 。 

[S1-Ethernet0/0/2]port link-type hybrid 

配置 port hybrid untagged vlan 20 命令 使 得 交换 机 在 该 接口 转发 VLAN 20 的 帧 时 ， 
剥离 掉 相 应 的 VLAN Tag 20， 以 Untagged 的 方式 发 送 给 PC。 

[$1-Ethernet0/0/2]port hybrid untagged vlan 20 

配置 port hybrid pvid vlan 20 命令 设置 Hybrid 类 型 接口 的 默认 VLAN ID， 即 使 
得 该 端口 上 接收 到 PC 发 来 的 未 带 VLAN Tag 的 帧 时 ， 加 上 VLAN Tag 20， 并 转发 到 
VLAN 20。 

[Sl1-Ethernet0/0/2]port hybrid pvid vlan 20 : 

同样 在 连接 男 一 台 终 端的 EE 0/0/3 接口 做 同样 配置 。 

[Sllinterface ethernet0/0/3 

[S1-Ethernet0/0/3]undo port default vlan 

[S1-Ethernet0/0/3]port link-type hybrid 


[S1-Ethernet0/0/3]port hybrid untagged vlan 10 
[S1-Ethernet0/0/3]port hybrid pvid vlan 10 


在 连接 交换 机 S2 的 EE0/0/1 接口 上 修改 端口 类 型 为 默认 的 Hybrid 类 型 , 并 使 用 port 
hybrid tagged vlan 10 20 命令 设置 该 链 路 仅 接 收 带 有 VLAN Tag 10 和 20 的 帧 ， 而 交换 
机 也 仅 转发 VLAN 10 和 VLAN 20 的 帧 到 该 链 路 。 一 般 该 命令 配置 在 交换 机 互 连 的 链 路 
接口 之 上 。 


[Sl]interface ethernet0/0/1 
[Sl1-Ethernet0/0/1]port trunk allow-pass vlan 1 
[S1-Ethernet0/0/1]port link-type hybrid 
[Sl1-Ethernet0/0/1]port hybrid tagged vlan 10 20 


S2 交换 机 将 在 E 0/0/1 接口 接收 到 的 Tagged 帧 ,根据 VLAN Tag 标识 , 向 接口 E 0/0/2 
转发 VLAN 20 的 帧 ， 向 接口 E 0/0/3 转发 VLAN 30 的 帧 。 反 之 ,接口 E 0/0/2 接收 到 PC 
发 送 的 未 带 Tag 的 帧 转发 到 VLAN 20， 端 口 E 0/0/3 接收 的 到 未 带 Tag 的 帧 会 被 转发 到 
VLAN 10， 并 且 这 些 帧 发 送 到 邻居 交换 机 S1 时 ， 会 保留 原 有 Tag。 

S2 上 的 配置 和 S1 类 似 ， 这 里 不 再 解释 。 


[S2jinterface ethernet0/0/2 
TS2-Ethernet0/0/2]undo port default vlan 
[$2-Ethernet0/0/2]port link-type hybrid 
[$2-Ethemet0/0/2]port hybrid untagged vlan 20 
[S2-Ethernet0/0/2]port hybrid pvid vlan 20 
[$2-Ethemet0/0/2]interface ethernet0/0/3 
[$2-Ethernet0/0/3Jundo port default vlan 
[$2-Ethernet0/0/3]port link-type hybrid 
[S$2-Ethernet0/0/3]port hybrid untagged vlan 10 
[S2-Ethernet0/0/3jport hybrid pvid vlan 10 
[$2-Ethemet0/0/3]interface ethernet 0/0/1 
[S2-Ethermet0/0/11port trunk allow-pass vlan 1 
[$2-Ethemet0/0/T]port link-type hybrid 
[$2-Ethemet0/0/11port hybrid tagged vlan 10 20 


配置 完成 后 , 使 用 display vlan 命令 查看 使 用 Hybrid 配置 下 接口 和 VLAN 的 对 应 关系 。 


2 


[Slldisplay vlan 
The total number of vlans is : 3 
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U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; #: Management-vlan; 
VID Type Ports 
1 common UT:Eth0/0/1(U) Eth0/0/2(U) Eth0/0/3(U) Eth0/0/4(U) 
Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) 
Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) 
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) 
Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) 
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D) 
10 common UT:Eth0/0/3(U) 
TG:Eth0/0/1(U) 
20 common UT:Eth0/0/2(U) 
TG:Eth0/0/1(U) 
VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 
[S21display vian 
The total number of vlans is : 3 
U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; #: Management-vlan; 
VID Type Ports 
1 common UT:Eth0/0/1(U) Eth0/0/2(U) Eth0/0/3(U) Eth0/0/4(D) 
Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) 
Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) 
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15D) Eth0/0/16(D) 
Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) 
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(D) GE0/0/2(D) 
10 common UT:Eth0/0/3(U) 
TG:Eth0/0/1(U) 
20 common UT:Eth0/0/2(U) 
TG:Eth0/0/1(U) 
VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


可 以 观察 到 , 同样 的 需求 , Hybrid 和 Access、Trunk 都 能 实现 (测试 省 略 ), 但 Hybrid 
的 灵活 性 及 解决 复杂 需求 的 能 力 是 Access 和 Trunk 达 不 到 的 。 

3， 实现 网 管 员 对 所 有 网 络 的 访问 

在 实现 各 部 门 内 部 终端 可 以 互相 访问 ， 不 同 部 门 间 的 终端 隔离 访问 后 ， 要 求 网 络 管 
理 员 所 在 的 I 部 门 ( 使 用 终端 PC-5) 能 够 实现 对 所 有 部 门 的 访问 。 即 要 求实 现 VLAN 30 
访问 VLAN 10 和 VLAN 20，VLAN 10 和 VLAN 20 之 间 仍 然 不 允许 互相 访问 。 如 果 S1 
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的 E 0/0/2 接口 仍 是 Access 类 型 且 属 于 VLAN 10, 则 不 能 被 其 他 VLAN 访问 。 若 要 VLAN 
30 的 终端 能 访问 VLAN 10 的 终端 , 则 需要 修改 接口 的 配置 , 使 其 既 能 被 YLAN 10 访问 ， 
又 能 被 VLAN 30 访问 , 这 就 要 求 此 接口 同时 要 属于 多 个 VLAN, 且 端 口 所 连 设备 是 PC， 
不 能 识别 带 VLAN Tag 的 帧 ,故此 时 只 能 使 用 Hybrid 类 型 接口 。Hybrid 端口 既 能 被 加 入 
多 个 VLAN 中 , 又 能 够 在 将 其 余 VLAN 的 帧 转发 到 此 接口 时 , 剥离 掉 相 应 的 VLAN Tag。 

配置 S1 交换 机 ，E 0/0/4 接口 是 网 络 管理 员 的 PC 终端 ， 属 于 VLAN 30， 该 接口 收 
到 的 PC 发 送 的 Untagged 帧 要 能 够 发 送 至 VLAN 30 中 ， 配 置 port hybrid pvid vlan 30 
命令 设置 Untagged 帧 加 入 至 VLAN 30。 

[Silvlan 30 


[S1-vlan30]interface Ethernet 0/0/4 
[S$1-Ethernet0/0/4]port hybrid pvid vlan 30 


因为 在 华为 交换 上 , 默认 所 有 接口 都 为 Hybrid 类 型 接口 ， 所 以 在 该 接口 下 不 需要 修 
改 配 置 。 

S1 交换 机 收 到 VLAN 10、VLAN 20 和 VLAN 30 的 帧 也 要 能 够 从 该 接口 发 送 至 PC， 
配置 port hybrid untagged vlan 10 20 30 命令 使 得 上 述 3 个 VLAN 的 帧 会 以 Untagged 的 
方式 从 该 接口 发 送出 去 。 

[S1-Ethernet0/0/4]port hybrid untagged vlan 10 20 30 

同 理 ， 端 口 E 0/0/2 接 PC-1， 接 口 收 到 PC 的 Untagged 帧 需要 发 送 至 VLAN 20， 使 
用 port hybrid pvid vlan 20 命令 。E 0/0/2 接口 同时 也 要 能 够 被 VLAN 30 和 .VLAN 20 
的 主机 访问 ， 即 VLAN 20 和 30 的 帧 能 够 从 该 接口 发 送出 去 ， 并 以 Untagged 的 方式 发 
入室 BG] 


[Sllinterface ethernet0/0/2 
[S1-Ethernet0/0/2]port hybrid untagged vlan 20 30 


接口 E 0/0/3 收 到 Untagged 的 帧 需 发 送 至 VLAN 10， 同时 YLAN 10 和 30 的 帧 要 能 
从 该 接口 发 送出 去 。 


[Sllinterface ethernet0/0/3 
[S1-Ethemet0/0/3]port hybrid untagged vlan 10 30 


VLAN10、VLAN20 和 VLAN30 的 帧 要 能 够 发 送 至 邻居 交换 机 S2， 且 要 保留 原 有 的 
VLAN Tag， 以 便于 邻居 交换 机 S2 根据 VLAN Tag 继续 转发 到 相应 的 VLAN。 同 样 ， 邻 
居 交 换 机 S2 发 送 过 来 的 帧 也 会 带 有 相应 的 VLAN Tag， 所 以 S1 与 $2 间 互 连 的 接口 E 
0/0/1 配置 如 下 。 


[Sllinterface ethernet0/0/1 
[S$1-Ethernet0/0/1]port hybrid tagged vlan 10 20 30 


[S2]interface ethernet0/0/] 
[$2-Ethernet0/0/1 1port hybrid tagged vlan 10 20 30 


同 理 在 S2 交 换 机 上 ,E 0/0/1 接 口 收 到 的 带 有 相应 VLAN Tag 标 记 的 帧 , 如 果 是 VLAN 
10 的 帧 要 能 发 送 至 接口 E 0/0/3， 如 果 是 VLAN 20 的 帧 要 能 发 送 至 E 0/0/2。 而 如 果 是 
VLAN 30 的 帧 要 能 发 送 至 接口 E 0/0/2 和 BE 0/0/3。.VLAN10、20 和 30 的 帧 都 是 以 Untagged 
的 方式 发 送 至 接口 E 0/0/2 或 E 0/0/3。 反 之 ， 如 果 PC-3 发 出 的 Untagged 的 帧 发 送 至 接 
口 E 0/0/2 时 会 进入 到 Hybrid 接口 PVID 所 指明 的 VLAN 20 中 ，PC-4 发 出 的 Untagged 
的 帧 发 送 至 接口 E 0/0/3 时 会 进入 到 Hybrid 接口 PVID 所 指明 的 VLAN 10 中 ， 具 体 配 置 
过 程 如 下 。 
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[S2]interface ethernet0/0/2 

[S2-Ethernet0/0/2]port hybrid untagged vlan 20 30 
[$2-Ethernet0/0/2]interface ethernet 0/0/3 
[S2-Ethernet0/0/3]port hybrid untagged vlan 10 30 


Sl 和 S2 上 全 部 配置 完成 后 , 使 用 ping 命令 在 IT 部 门 的 网 络 管理 员 的 PC-5 上 测试 
与 不 同 部 门 内 的 各 人 台 主 机 间 的 连通 性 ， 以 PC-1 为 例 。 
PC>ping 192.168.1.1 
Ping 192.168.1.1; 32 data bytes, Press Ctrl C to break 
From 192.168.1.1: bytes=32 seq=l ttl=128 time=15 ms 
From 192.168.1.1: bytes=32 seq=2 ttl=128 time<l ms 
From 192.168.1.1: bytes=32 seq=3 ttl=128 time<] ms 
From 192.168.1.1: bytes=32 seq=4 ttl=128 time=15 ms 
From 192.168.1.1: bytes=32 seq=5 ttl=128 time=15 ms 
--- 192.168.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 0/9/15 ms 
可 以 观察 到 ，PC-5 所 属 网 络 管理 员 所 在 的 VLAN 30， 能 够 正常 访问 到 其 他 部 门 的 
所 有 终端 。 
同 理 , 选择 市 场 部 门 所 在 VLAN 20 内 的 主机 PC-1, 测试 其 与 其 他 主机 间 的 连通 性 。 
测试 PC-1 与 本 部 门 内 的 主机 PC-3 间 的 连通 性 。 
PC>ping 192.168.1.3 
Ping 192.168.1.3: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.3: bytes=32 seq=] ttl=128 time=31 ms 
From 192.168.1.3; bytes=32 seq=2 ttl=128 time=62 ms 
From 192.168.1.3: bytes=32 seq=3 ttl=]128 time=46 ms 
From 192.168.1.3: bytes=32 seq=4 ttl=128 time=31 ms 
From 192.168.1.3: bytes=32 seg=5 ttl=128 time=47 ms 
--- 192.168.1,3 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 31/43/62 ms 
可 以 正常 通信 。 
测试 PC-1 与 外 部 门 的 主机 PC-2 和 PC-4 间 的 连通 性 。 
PC>ping 192.168.1.2 
Ping 192,168,1,2: 32 data bytes, Press Ctrl C to break 
From 192.168.1.1; Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 


PC>ping 192.168.1.4 

Ping 192.168.1.4: 32 data bytes, Press CtrlL_C to break 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168,1,1: Destination host unreachable 

From 192.168.1.1: Destination host unreachable 
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不 能 正常 通信 ， 实 现 了 设计 要 求 。 
测试 PC-1 与 IT 部 门 网 络 管理 员 主机 PC-5 间 的 连通 性 。 
PC>ping 192.168.1.100 
Ping 192.168.1.100: 32 data bytes, Press Ctrl _C to break 
From 192.168.1.100: bytes=32 seq=l ttl=128 time<] ms 
From 192.168.1.100: bytes=32 seq=2 ttl=128 time=16 ms 
From 192.168.1.100: bytes=32 seq=3 ttl=128 time<1 ms 
From 192.168.1.100: bytes=32 seq=4 ttl=128 time<] ms 
From 192.168.1.100: bytes=32 seq=5 ttl=128 time<] ms 
-一 192.168.1.100 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 0/3/16 ms 
可 以 正常 通信 。 
在 交换 机 上 可 以 定义 多 个 VLAN, 每 个 VLAN 都 可 以 看 做 是 一 个 广播 域 , 通常 情况 
下 每 个 VLAN 都 会 分 配 一 个 独立 的 IP 网 络 ， 根 据 需要 把 相应 主机 所 在 的 接口 划 入 到 指 
定 的 VLAN 中 ， 并 配置 相应 的 网 络 IP 地 址 ，VLAN 间 通 过 路 由 来 实现 互相 访问 。 这 是 
较为 常用 的 方法 。 但 是 相 比 于 基于 端口 的 Hybrid 配置 ， 三 层 路 由 方式 则 不 够 灵活 ， 原 因 
在 于 VLAN 之 间 的 访问 控制 要 借助 于 路 由 设备 来 实现 。 而 控制 VLAN 访问 使 用 Hybrid 
接口 则 极 大 地 简化 了 配置 的 复杂 性 ， 它 仅 需 在 端口 上 自主 定义 基于 VLAN Tag 的 过 滤 规 
则 ， 来 决定 指定 的 VLAN 的 二 层 帧 是 否 人 允许 发 送 ， 它 是 通过 二 层 来 实现 VLAN 间 的 访 
问 控制 ， 既 不 需要 每 个 VLAN 定义 单独 的 IP 网 段 , 更 不 需要 在 VLAN 间 引 入 路 由 设备 ， 
配置 更 为 灵活 方便 。 


思考 


在 本 实验 中 ， 如 果 将 PC-5 所 连 交 换 机 的 接口 E 0/0/4 下 的 port hybrid pvid 30 命令 
删除 ，PC-4 所 连 的 端口 E 0/0/3 下 port hybrid pvid 10 命令 删除 ， 其 他 端口 配置 则 保持 
不 变 。 此 时 在 PC-5 与 PC-4 间 的 连通 性 是 否 正常 ? 报 文 经 过 S1 和 S2 间 端 口 时 使 用 的 
VLAN Tag 是 哪个 ? 为 什么 ? 


3.4 ”利用 单 辟 路 由 实现 VLAN 间 路 由 


原理 概述 


以 太 网 中 ， 通 常会 使 用 VLAN 技术 隔离 二 层 广播 域 来 减少 广播 的 影响 ， 并 增强 
网 络 的 安全 性 和 可 管理 性 。 其 缺点 是 同时 也 严格 地 隔离 了 不 同 VLAN 之 间 的 任何 二 
层 流量 ， 使 分 属于 不 同 VLAN 的 用 户 不 能 直接 互相 通信 。 在 现实 中 ， 经 常会 出 现 某 
些 用 户 需 要 跨越 VLAN 实现 通信 的 情况 ， 单 辟 路 由 技术 就 是 解决 VLAN 间 通 信 的 一 
种 方法 。 

单 臂 路 由 的 原理 是 通过 一 台 路 由 器 ， 使 VLAN 间 互 通 数 据 通过 路 由 器 进行 三 层 
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转发 。 如 果 在 路 由 器 上 为 每 个 VLAN 分 配 一 个 单独 的 路 由 器 物理 接口 ， 随 着 VLAN 
数量 的 增加 ， 必 然 需 要 更 多 的 接口 ， 而 路 由 器 能 提供 的 接口 数量 比较 有 限 ， 所 以 在 路 
由 器 的 一 个 物理 接口 上 通过 配置 子 接口 ( 即 逻 辑 接口 ) 的 方式 来 实现 以 一 当 多 的 功能 ， 
将 是 一 种 非常 好 的 方式 。 路 由 器 同一 物理 接口 的 不 同 子 接口 作为 不 同 VLAN 的 默认 
网 关 ， 当 不 同 VLAN 间 的 用 户主 机 需要 通信 时 ， 只 需 将 数据 包 发 送 给 网 关 ， 网 关 处 
理 后 再 发 送 至 目的 主机 所 在 VLAN， 从 而 实现 VLAN 间 通 信 。 由 于 从 拓扑 结构 图 上 
看 ， 在 交换 机 与 路 由 器 之 间 ， 数 据 仅 通过 一 条 物理 链 路 传输 ， 故 被 形象 地 称 之 为 “ 单 
臂 路 由 ”。 


实验 目的 


。 理解 单 辟 路 由 的 应 用 场景 

。 掌握 路 由 器 子 接口 的 配置 方法 

e 掌握 子 接口 封装 VLAN 的 配置 方法 
e 理解 单 辟 路 由 的 工作 原理 


实验 内 容 


本 实验 模拟 公司 网 络 场景 。 路 由 器 R1 是 公司 的 出 口 网 关 ， 员工 PC 通过 接 入 层 交换 
机 (如 S2 和 S3) 接 入 公司 网 络 , 接 入 层 交 换 机 又 通过 汇聚 交换 机 S1 与 路 由 器 R1 相连 。 
公司 内 部 网 络 通过 划分 不 同 的 VLAN 隔离 了 不 同 部 门 之 间 的 二 层 通 信 , 保证 各 部 门 间 的 
信息 安全 ， 但 是 由 于 业务 需要 ， 经 理 、 市 场 部 和 人 事 部 之 间 需 要 能 实现 跨 VLAN 通信 ， 
网 络 管理 员 决 定 借助 路 由 器 的 三 层 功 能 ， 通 过 配置 单 辟 路 由 来 实现 。 


实验 拓扑 
利用 单 臂 路 由 实现 VLAN 间 路 由 拓扑 如 图 3-5 所 示 。 








Sl GEool GE 0/0 








PC-2 PC-3 
68.1,1 V10 1192.168.2.1 V20 192.1683.1 V30 
图 3-5 利用 单 臂 路 由 实现 VLAN 间 路 由 拓扑 
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实验 编 址 


实验 编 址 见 表 3-4。 
表 3-4 实验 编 址 


255.255.255.0 
255.255.255.0 
255.255.255.0 
255.255.255.0 



















默认 网 关 


RI (AR2220) 


192.168.1.254 


192.168.2.254 
192.168.3.254 


Ethernet 0/0/1 192.168.2.1 255,255.255.0 
Ethernet 0/0/1 192.168.3.1 255.255.255,0 


实验 步骤 


1. 创建 VLAN 并 配置 Access、Trunk 接口 

公司 为 保障 各 部 门 的 信息 安全 ， 需 保证 隔离 不 同 部 门 间 的 二 层 通 信 ， 规 划 各 部 门 的 
终端 属于 不 同 的 VLAN， 并 为 PC 配置 相应 IP 地址 。 

在 S2 上 创建 VLAN 10 和 VLAN 20， 把 连接 PC-1 的 E0/0/1 和 连接 PC-2 的 E 0/0/2 
接口 配置 为 Access 类 型 接口 ， 并 分 别 划 分 到 相应 的 VLAN 中 。 


[S2]vlan 10 

[S2-vlan10]description HR 

[S2-vjan10]vlan 20 

[S2-vlan20]description Market 

[S2-vlan20]interface Ethernet 0/0/1 

[S2-Ethernet0/0/1]port link-type access 

[S2-Ethernet0/0/1]port default vlan 10 

[S2-Ethernet0/0/1]interface Ethernet 0/0/2 

[S2-Ethernet0/0/2]port link-type access 

[S2-Ethernet0/0/2]port default vlan 20 

在 S3 上 创建 VLAN 30， 把 连接 PC-3 的 EE 0/0/1 接口 配置 为 Access 类 型 接口 ， 并 划 
分 到 VLAN 30。 

[S3]vlan 30 

[S3-ylan30]description Manager 

1S3-vlan30]interface Ethernet 0/0/1 

[S$3-Ethernet0/0/1]port link-type access 

[S3-Ethermet0/0/1]port default vlan 30 

交换 机 之 间或 交换 机 和 路 由 器 之 间 相 连 的 接口 需要 传递 多 个 VLAN 信息 , 需要 配置 
成 Trunk 接口 。 


将 S2 和 S3 的 GE 0/0/2 接口 配置 成 Trunk 类 型 接口 ， 并 允许 所 有 VLAN 通过 。 
[S2]jinterface GigabitEthernet 0/0/2 

[S2-GigabitEthernet0/0/2]port link-type trunk 

[$2-GigabitBthernet0/0/2]port trunk allow-pass vlan all 


78 HCNA 网 络 技术 实验 指南 


[S$3]interface GigabitEthernet 0/0/2 
[S3-GigabitEthernet0/0/2]port link-type trunk 
[S3-GigabitEthernet0/0/2]porttrunk allow-pass vlan all 


在 S1 上 创建 VLAN 10、VLAN 20 和 VLAN 30, 并 配置 交换 机 和 路 由 器 相连 的 接口 
为 Trunk， 人 允许 所 有 VLAN 通过 。 

[Sllvlan 10 

[Sl-vlanl0]vlan 20 

[Sl-vlan20]vlan 30 

[Sl-vlan30]interface GigabitEthernet 0/0/2 

[S1-GigabitEthernet0/0/2]port link-type trunk 

[Sl1-GigabitEthernet0/0/2] port trunk allow-pass vlan all 

[Sl1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3 

[S1-GigabitEthernet0/0/3]port link-type trunk 

[Sl1-GigabitEthernet0/0/3] port trunk allow-pass vlan all 

[S1-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/1 

[S1-GigabitEthernet0/0/11port link-type trunk 

[Sl1-GigabitEthernet0/0/11port trunk allow-pass vlan all 


2. 配置 路 由 器 子 接口 和 JIP 地 址 

由 于 路 由 器 R1 只 有 一 个 实际 的 物理 接口 与 交换 机 Sl1 相连 , 可 以 在 路 由 器 上 配置 不 
同 的 逻辑 子 接口 来 作为 不 同 VLAN 的 网 关 ， 从 而 达到 节省 路 由 器 接口 的 目的 。 

在 R1 上 创建 子 接口 GE 0/0/1.1， 配置 IP 地址 192.168.1.254/24， 作 为 人 事 部 网 关 
地 址 。 


[Rllinterface GigabitEthernet 0/0/1.1 
[Rl-GigabitEthernet0/0/1.1]ip address 192.168.1.254 24 


在 Rl1 上 创建 子 接口 GE 0/0/1.2, 配置 IP 地 址 192.168.2.254/24， 作 为 市 场 部 网 关 
地 址 。 


[Rilinterface GigabitEthernet 0/0/1.2 
[R1-GigabitEthernet0/0/1.2]ip address 192.168.2.254 24 


在 R1 上 创建 子 接口 GE 0/0/1.3,， 配置 IP 地 址 192.168.3.254/24， 作 为 经 理 的 网 关 
地 址 。 


[Rilinterface GigabitEthernet 0/0/1.3 
[R1-GigabitEthernet0/0/1.3]ip address 192.168.3.254 24 


在 PC-1、PC-2 和 PC-3 上 配置 IP 和 相应 的 网 关 地 址 后 ， 在 PC-1 上 测试 与 PC-2 和 
PC-3 间 的 连通 性 。 
PC>ping 192.168.2.1 
Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 


PC>ping 192.168.3.1 

Ping 192.168.3.1: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.1; Destination host unreachable 
From 192.168.1.1: Destination host unreachable 


第 3 章 VLAN 79 


From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 


可 以 观察 到 ， 通 信 仍 然 无 法 建立 。 

3， 配置 路 由 器 子 接口 封装 VLAN 

虽然 目前 已 经 创建 了 不 同 的 子 接口 ， 并 配置 了 相关 IP 地 址 , 但 是 仍然 无 法 通信 。 
这 是 由 于 处 于 不 同 VLAN 下 , 不 同 网 段 的 PC 间 要 实现 互相 通信 ,数据 包 必 须 通 过 路 
由 器 进行 中 转 。 由 S1 发 送 到 R1 的 数据 都 加 上 了 VLAN 标签 ， 而 路 由 器 作为 三 层 设 
备 ， 默 认 无 法 处 理 带 了 VLAN 标签 的 数据 包 。 因 此 需要 在 路 由 器 上 的 子 接口 下 配置 
对 应 VLAN 的 封装 ， 使 路 由 器 能 够 识别 和 处 理 VLAN 标签 ， 包 括 剥 离 和 封装 VLAN 
标签 。 

在 Rl 的 子 接口 GE 0/0/1.1 上 封装 VLAN 10, 在 子 接口 GE 0/0/1.2 上 封装 VLAN 20， 
在 子 接口 GE 0/0/1.3 上 封装 VLAN 30， 并 开启 子 接口 的 ARP 广播 功能 。 

使 用 dotlq termination vid 命令 配置 子 接口 对 一 层 tag 报 文 的 终结 功能 。 即 配置 该 
命令 后 ， 路 由 器 子 接口 在 接收 带 有 VLAN tag 的 报 文 时 ,将 剥 掉 tag 进行 三 层 转发 ,在 发 
送 报 文 时 ， 会 将 与 该 子 接口 对 应 VLAN 的 VLAN tag 添加 到 报 文中 。 

[R1-GigabitEthernet0/0/1.1]dotlgq termination vid 10 

使 用 arp broadcast enable 命令 开启 子 接口 的 ARP 广播 功能 。 如 果 不 配置 该 命令 ， 
将 会 导致 该 子 接口 无 法 主动 发 送 ARP 广播 报 文 ， 以 及 向 外 转发 全 报 文 。 

区 1-GigabitEthernet0/0/1.1]arp broadcast enable 

同 理 配置 Rl1 的 子 接口 GE 0/0/1.2 和 GE 0/0/1.3。 

[Rllinterface GigabitEthernet0/0/1.2 

[Ri-GigabitEthernet0/0/1.2]dotlgq termination vid 20 

[R1-GigabitEthermet0/0/1.2]arp broadcast enable 

[Rl1-GigabitEthemet0/0/1.2]interface GigabitEthernet0/0/1,3 

BR1-GigabitEthernet0/0/1.3]dotlq termination vid 30 

[R1-GigabitEthernet0/0/1.3]arp broadcast enable 

配置 完成 后 ， 在 路 由 器 R1 上 查看 接口 状态 。 

[Rl]display ip interface brief 

*down: administratively down 


EE 


Interface IP Address/Mask Physical Protocol 
GigabitEthernet0/0/0 unassigned down down 
GigabitEthernet0/0/1 unassigned up down 
GigabitEthernet0/0/1.1 192.168.1.254/24 up up 
GigabitEthernet0/0/1.2 192.168.2.254/24 up up 
GigabitEthemet0/0/1.3 192.168.3.254/24 up up 
GigabitEthemet0/0/2 unassigned down down 
NULLO unassigned UP up (S) 


可 以 观察 到 ，3 个 子 接口 的 物理 状态 和 协议 状态 都 正常 。 
查看 路 由 器 R1 的 路 由 表 。 


[Rl1]display ip routing-table 
RouteFlags: 及 - relay, D - downloadto fib 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


80 HCNA 网 络 技术 实验 指南 


Routing Tables: Public 
Destinations : 13 Ronutes : 13 


Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 JInLoopBack0 
127.0.0.1/32 Direct 0 0 Dia InLoopBack0 
127,255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthernet0/0/1.1 
192.168.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/1.1 
192.168.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1.1 
192.168.2.0/24 Direct 0 0 D 192.168.2.254 GigabitEthermnet0/0/1.2 
192.168.2.254/32 Direct 0 0 DRL27003 GigabitEthernet0/0/1.2 
192.168.2.255/32 Direct 0 0 D270.0.1 GigabitEthermmet0/0/1.2 
192.168.3.0/24 Direct 0 0 D 192.168.3.254 GigabitEthermet0/0/1.3 
192.168.3.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1.3 
192.168.3.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1.3 
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 路 由 表 中 已 经 有 了 FTP 192.168.2.0/24、192.168.3.0/24 的 
路 由 条 目 ， 并 且 都 是 路 由 器 R1 的 直 连 路 由 ， 类 似 于 路 由 器 上 的 直 连 物理 接口 。 
在 PC-1 上 分 别 测试 与 网 关 地 址 192.168.1.254 和 PC-2 间 的 连通 性 。 


PC>ping 192.168.1.254 
Ping 192.168.1.254: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.254: bytes=32 seq=1 ttl=255 time=62 ms 
From 192.168.1.254: bytes=32 seq=2 ttl=255 time=62 ms 
From 192.168.1.254: bytes=32 seq=3 ttl=255 time=46 ms 
From 192.168.1.254: bytes=32 seq=4 ttl=255 time=32 ms 
From 192.168.1.254: bytes=32 seq=5 ttl=255 time=47 ms 
-- 192.168.1.254 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 32/49/62 ms 


PC>ping 192.168.2.1 
Ping 192.168.2.1: 32 data bytes, Press CtrlL_C to break 
From 192.168.2,1: bytes=32 Seq=l ttl=127 time=94 ms 
From 192.168.2.1: bytes=32 seq=2 ttl=127 time=78 ms 
From 192.168.2.1: bytes=32 seq=3 ttl=127 time=109 ms 
From 192.168.2.1: bytes=32 seq=4 ttl=127 time=93 ms 
From 192.168.2.1: bytes=32 seq=5 ttl=127 time=110 ms 
-一 192.168.2.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 78/96/110 ms 
可 以 观察 到 ， 通 信 正 常 。 在 PC-1 上 Tracert PC-2。 
PC>tracert 192.168.2.1 
traceroute to 192.168.2.1, 8 hops max 
(ICMP), press Ctrl+C to stop 
1 192.168.1.254 62ms 47ms 31ms 
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2 192.168.2.]1 l25ms 94ms 94ms 

可 以 观察 到 PC-1 先 把 ping 包 发 送 给 上 自身 的 网 关 192.168.1.254， 然 后 再 由 网 关 发 送 
到 PC-2。 

现 以 PC-1 ping PC-2 为 例 ， 分 析 单 臂 路 由 的 整个 运作 过 程 。 

两 台 PC 由 于 处 于 不 同 的 网 络 中 ， 这 时 PC-1 会 将 数据 包 发 往 自 己 的 网 关 ， 即 路 由 器 
R1 的 子 接口 GE 0/0/1.1 的 地 址 192.168.1.254。 

数据 包 到 达 路 由 器 R1 后 ， 由 于 路 由 器 的 子 接口 GE 0/0/1.1 已 经 配置 了 VLAN 封 
装 , 当 接 收 到 了 PC-1 发 送 的 VLAN 10 的 数据 帧 时 , 发 现 数据 帧 的 VLAN ID 跟 自身 GE 
0/0/1.1 接口 配置 的 VLAN ID 一 样 ， 便 会 剥离 掉 数 据 帧 的 VLAN 标签 后 通过 三 层 路 
由 转发 。 

通过 查找 路 由 表 后 ， 发 现 数据 包 中 的 目的 地 址 192.168.2.1 所 属 的 192.168.2.0/24 网 
段 的 路 由 条 目 ， 已 经 是 路 由 器 R1 上 的 直 连 路 由 ， 且 出 接口 为 GE 0/0/1.2, 便 将 该 数据 包 
发 送 至 GE 0/0/1.2 接口 。 

当 GE 0/0/1.2 接口 接收 到 一 个 没有 带 VLAN 标签 的 数据 帧 时 ， 便 会 加 上 自身 接口 所 
配置 的 VLAN ID 20 后 再 进行 转发 ， 然 后 通过 交换 机 将 数据 帧 顺利 转发 给 PC-2。 


思考 


VLAN 间 的 通信 可 以 利用 单 辟 路 由 的 方式 实现 ， 那 么 利用 单 各 路 由 实现 数据 转发 会 
存在 哪些 潜在 问题 ? 该 如 何 解决 ? 


3.5 利用 三 层 交 换 机 实现 VLAN 间 路 由 


原理 概述 I 


VLAN 将 一 个 物理 的 LAN 在 逻辑 上 划分 成 多 个 广播 域 。VLAN 内 的 主机 间 可 以 直 
接 通信 ， 而 VLAN 间 不 能 直接 互通 。 

在 现实 网 络 中 ， 经 常会 遇 到 需要 跨 VLAN 相互 访问 的 情况 ， 工程师 通常 会 选择 一 些 
方法 来 实现 不 同 VLAN 间 主 机 的 相互 访问 , 例如 单 辟 路 由 。 但 是 单 辟 路 由 技术 中 由 于 存 
在 一 些 局 限 性 ， 比 如 带宽 、 转 发 效率 等 ， 使 得 这 项 技术 应 用 较 少 。 

三 层 交 换 机 在 原 有 二 层 交 换 机 的 基础 之 上 增加 了 路 由 功能 ， 同 时 由 于 数据 没有 像 单 
臂 路 由 那样 经 过 物理 线路 进行 路 由 ， 很 好 地 解决 了 带宽 瓶颈 的 问题 ， 为 网 络 设计 提供 了 
一 个 灵活 的 解决 方案 。 

VLANIF 接口 是 基于 网 络 层 的 接口 ， 可 以 配置 IP 地址。 借助 VLANIF 接口 , 三 层 交 
换 机 就 能 实现 路 由 转发 功能 。 


实验 目的 


。 掌握 配置 VLANIF 接口 的 方法 
e 理解 数据 包 跨 VLAN 路 由 的 原理 
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'。 掌握 测试 多 层 交 换 网 络 连通 性 的 方法 
实验 内 容 


本 实验 模拟 企业 网 络 场景 。 公 司 有 两 个 部 门 一 一 销售 部 和 客服 部 ， 分 别 规划 使 用 
VLAN 10 和 VLAN 20。 其 中 销售 部 下 有 两 台 终 端 PC-1 和 PC-2， 客 服部 下 有 一 台 终 端 
PC-3。 所 有 终端 都 通过 核心 三 层 交 换 机 S1 相连 。 现 需要 让 该 公司 所 有 三 台 主 机 都 能 实 
现 互 相 访问 ， 网 络 管理 员 将 通过 配置 三 层 交 换 机 来 实现 。 


实验 拓扑 
利用 三 层 交 换 机 实现 VLAN 间 路 由 的 拓扑 如 图 3-6 所 示 。 


核心 交换 机 






GE 0/0/1 
GE 0/0/3 


Ethemet 0/0/1 Ethemet 0/0/1 





Ethernet 0/0/1 











PC-1 PC-2 PC-3 


销售 部 客服 部 
‘VLAN 10 VLAN 20 


图 3-6 利用 三 层 交 换 机 实现 VLAN 间 路 由 拓扑 


实验 编 址 


实验 编 址 见 表 3-5。 
表 3-5. 实验 编 址 


a 
















192.168.1.254 
192.168.1.254 
192.168.2.254 









Sl1 (S5700) 
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实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 在 PC 上 进行 相应 的 基本 IP 地 址 配置 ， 三 层 交 换 机 S1 上 暂 先 不 做 
配置 。 
配置 完成 后 ， 测 试销 售 部 两 台 终 端 PC-1 与 PC-2 间 的 连通 性 。 
PC>ping 192.168.1.1 
Ping 192.168.1.1: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.1: bytes=32 seq=]1 tt]=128 time=31 ms 
From 192.168.1.1: bytes=32 seq=2 ttl]=128 time=15 ms 
From 192.168.1.1: bytes=32 seq=3 ttl=128 time<l ms 
From 192.168.1.1: bytes=32 seq=4 ttl=128 time<] ms 
From 192.168.1.1: bytes=32 seq=5 ttl=128 time<l ms 
-一 192.168.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 0/9/31 ms 
可 以 观察 到 ， 通 信和 正常 。 
测试 销售 部 PC-1 与 客服 部 PC-3 间 的 连通 性 。 
PC>ping 192.168.2.1 
Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 
From 192.168.1.1: Destination host unreachable 


PC-1 与 PC-3 间 无 法 正常 通信 , 下 面 简要 分 析 主 机 PC-1 发 出 数据 包 ， 直 至 反馈 目的 
无 法 到 达 的 整个 过 程 : 

主机 发 出 数据 包 前 ， 将 会 查看 数据 包 中 的 目的 IP 地 址 ， 如 果 目 的 他 地址 和 本 机 下 
地 址 在 同一 个 网 段 上 , 主机 会 直接 发 出 一 个 ARP 请 求 数据 包 来 请 求 对 方 主机 的 MAC 地 
址 ， 封 装 数据 包 ， 继 而 发 送 该 数据 包 。 但 如 果 目 的 他 地 址 与 本 机 IP 地 址 不 在 同一 个 网 
段 ， 那 么 主机 也 会 发 出 一 个 ARP 数据 包 请 求 网 关 的 MAC 地 址 ， 收 到 网 关 ARP 回复 后 ， 
继而 封装 数据 包 后 发 送 。 

所 以 ， 销 售 部 主机 PC-1 在 访问 192.168.2.1 这 个 IP 地 址 时 发 现 这 个 目的 IP 地 
址 与 本 机 IP 地 址 不 在 同一 个 IP 地 址 段 上 ，PC-1 便 会 发 出 ARP 数据 包 请 求 网 关 
192.168.1.254 的 MAC 地 址 。 但 由 于 交换 机 没有 做 任何 IP 配置 ， 因 此 没有 设备 应 答 
该 ARP 请 求 ， 导致 销售 部 主机 PC-1 无 法 正常 封装 数据 包 ， 因 此 无 法 与 客服 部 PC-3 
正常 通信 。 

2. 配置 三 层 交 换 机 实现 VLAN 间 通 信 

通过 在 交换 机 上 设置 不 同 的 VLAN 使 得 主机 实现 相互 隔离 。 在 三 层 交换 机 S1 上 创 
建 VLAN 10 和 VLAN 20， 把 销售 部 的 主机 全 部 划 入 VLAN 10 中 ， 客 服部 的 主机 划 入 
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VLAN 20 中 。 


[Silvlan 10 

[Sl-vlanl0]vlan 20 

[Sl-vlan20]interface GigabitEthernet0/0/1 
[Sl1-GigabitEthernet0/0/1]port link-type access 
[Sl1-GigabitEthernet0/0/1]port default VLAN 10 
[S1-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2 
[SI-GigabitEthernet0/0/2]port link-type access 
[Sl1-GigabitEthernet0/0/2]port default VLAN 10 
[S1-GigabitEthernet0/0/2]interface GigabitEthernet0/0/3 
[Sl1-GigabitEthernet0/0/3]port link-type access 
[Sl1-GigabitEthernet0/0/3]port default VLAN 20 
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现在 需要 通过 VLAN 间 路 由 来 实现 通信 ， 在 三 层 交 换 机 上 配置 VLANIF 接口 。 
在 S1 上 使 用 interface YLANif 命令 创建 VLANIF 接口 ， 指 定 YLANIF 接口 所 对 
应 的 VLAN ID 为 10， 并 进入 VLANIF 接口 视图 ， 在 接口 视图 下 配置 IP 地 址 


192.168.1.254/24 。 再 创建 对 应 VLAN 20 


192.168.2.254/24。 
[Sllinterface VLANif 10 
[S1-VLANIfI0]ip address 192.168.1.254 24 
[S1-VLANifl0jinterface VLANif 20 
[S1-=VLANifPP20]ip address 192.168.2.254 24 
配置 完成 后 ， 查 看 接口 状态 。 
[Slldisplay ip interface brief 
*down: administratively down 


Interface IPAddress/Mask Physical 
MEth0/0/1 unassigned down 
NULL0 Unassigned up 
VLANifl unassigned down 
VLANifl0 192.168.1.254/24 up 
VLANiP0 192.168.2.254/24 up 


可 以 观察 到 ， 两 个 VLANIF 接口 已 经 生效 。 
PC>ping 192.168.2.1 
Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break 
From 192.168.2.1: bytes=32 seq=1l ttl=127 time=-61765 ms 
From 192.168.2.1: bytes=32 seq=2 ttl=127 time=-61781 ms 
From 192.168.2.1: bytes=32 seq=3 ttl=127 time=-61766 ms 
From 192.168.2.1: bytes=32 seq=4 ttl=127 time=-61766 ms 
From 192.168.2.1: bytes=32 seq=5 ttl=127 time=-6178]1 ms 
--- 192.168.2.1 ping statistics --- 

Spacket(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = -61781/858931687/-61765 ms 


可 见 通信 正常 ， 
在 PC-1 上 查看 ARP 信息 。 


PC>arp -a 


的 VLANIF 接口 ， 地 址 配置 为 


Protocol 
down 
up(s) 
down 


up 


up 
再 次 测试 PC-1 与 PC-3 间 的 连通 性 。 


实现 了 销售 部 终端 与 客服 部 终端 间 的 通信 。PC-2 上 的 测试 省 略 。 
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Internet Address Physical Address Type 
192.168.1.254 4C-1F-CC-63-AB-09 


dynamic 
可 以 观察 到 ， 目 前 PC 上 ARP 解析 到 的 地 址 只 有 交换 机 的 VLANIF 10 的 地 址 ， 而 
没有 对 端的 地 址 ，PC-1 先 将 数据 包 发 送 至 网 关 ， 即 对 应 的 VLANIF 10 接口 ， 再 由 网 关 
转发 到 对 端 。 


思考 
试问 三 层 交 换 机 与 路 由 器 实现 三 层 功能 的 方式 是 否 相同 ? 为 什么 ? 
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4.1 STP 配置 和 选 路 规则 


原理 概述 


STP 是 用 来 避免 数据 链 路 层 出 现 逻辑 环 路 的 协议 ， 使 用 BPDU 传递 网 络 信息 计算 出 
一 根 无 环 的 树 状 网 络 结构 ， 并 阻塞 特定 端口 。 在 网 络 出 现 故 障 的 时 候 ，STP 能 快速 发 现 
链 路 故障 ， 并 尽快 找 出 另外 一 条 路 径 进 行 数据 传输 。 

交换 机 上 运行 的 STP 通过 BPDU 信息 的 交互 ， 选 举 根 交换 机 ， 然 后 每 台 非 根 交换 机 
选择 用 来 与 根 交换 机 通信 的 根 端口 ， 之 后 每 个 网 段 选 择 用 来 转发 数据 至 根 交换 机 的 指定 
端口 ， 最 后 剩余 端口 则 被 阻塞 。 

在 STP 工作 过 程 中 ， 根 交换 机 的 选举 ， 根 端口 、 指 定 端口 的 选举 都 非常 重要 。 华 为 
VRP 提供 了 各 种 命令 来 调整 STP 的 参数 ， 用 以 优化 网 络 。 例 如 ， 交 换 机 优先 级 、 端 口 优 
先 级 、 端 口 代价 值 等 。 


实验 目的 


。 理解 STP 的 选举 过 程 
。 掌握 修改 交换 机 优先 级 的 方法 
。 掌握 修改 端口 开销 值 的 方法 


实验 内 容 


公司 购置 了 4 台 交 换 机 ， 组 建 网 络 。 考 虑 到 网 络 的 可 靠 性 ， 将 4 台 交 换 机 如 图 4-1 所 
示 拓 扑 搭建 。 由 于 默认 情况 下 ， 交 换 机 之 间 运 行 STP 后 ， 根 交换 机 、 根 端口 、 指 定 端口 的 
选择 将 基于 交换 机 的 MAC 地 址 的 大 小 ， 因 此 带 来 了 不 确定 性 ， 极 可 能 由 此 产生 隐患 。 

公司 网 络 规划 ， 需 要 S1 作为 主根 交换 机 ，S2 作为 S1 的 备份 根 交 换 机 。 同 时 对 于 
S4 交 换 机 ,E 0/0/1 接口 应 该 作为 根 端口 .对 于 S2 和 8S3 之 间 的 链 路 ,应 该 保证 S2 的 E 0/0/3 
接口 作为 指定 端口 。 同 时 在 交换 机 S3 上 ， 存 在 两 个 接口 E 0/0/10、E 0/0/11 连接 到 测试 
PC， 测 试 PC 经 常 上 下 线 网 络 ， 需 要 将 交换 机 S3 与 之 相连 的 对 应 端口 定义 为 边缘 端口 ， 
避免 测试 电脑 上 下 线 对 网 络 产生 的 影响 。 


实验 拓扑 
STP 配置 及 选举 规则 的 拓扑 如 图 4-1 所 示 。 


Ethernet 0/0/] Ethernet 0/0/1 三 
si 看 S2 


了 全 
Ethernet 0/0/2 Teme ol! Ethernet 0/0/2 
Ethernet 0/0/2 Ethernet 0/0/2 















I0P 

Evernet 
Ethernet 0/0/1 Ss 
ss 
Ethernet 0/0/10 Ethernet 0/0/11 Ethemet 0/0/1 下 
Ethernet 0/0/1 


PC-2 
图 4-1 STP 配置 及 选举 规则 拓扑 
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MAC 地 址 


本 实验 的 MAC 地 址 见 表 4-1。 
表 4-1 MAC 地 址 
设备 全 局 MAC 地 址 
S1 (S3700) 4clf-cceb-beac 
S2 (S3700) 4clf-ccbf-cbb5 
S3 (S3700) 4clf-ccb0-58df 
S4 (S3700) 4clf-ccac-3733 


实验 步骤 


1. 基本 配置 
根据 图 4-1， 在 交换 机 上 启用 STP( 华 为 交换 机 默认 启用 MSTP)， 将 交换 机 的 STP 
模式 更 改 为 普通 生成 树 STP。 


[Sl]stp enable 
[Sll]stp mode stp 


[S21]stp enable 
[S2]stp mode stp 


[S31]stp enable 
[S$3]stp mode stp 


[S4]stp enable 
[S4]stp mode stp 


配置 完成 后 ， 默 认 情 况 下 需要 等 待 30s 生成 树 重新 计算 的 时 间 (15s Forward Delay 
加 上 15s Learning 状态 时 间 )， 再 使 用 display stp 命令 查看 S1 的 生成 树 状态 。 


[Slldisplay stp 
~—-----[CIST Global Info][Mode STP]------- 
CIST Bridge :32768.4c1f-cceb-beac 


name 


Last TC occurred :Ethernet0/0/1 
-—--[Portl(Ethernet0/0/1)][FORWARDING]---- 


Port Protocol :Enabled 
Port Role :Root Port 
Port Priority :128 


Port Cost(DotIT) :Config=auto /Active=1 
Designated Bridge/Port :32768.4clf-ccbf-cbb5 / 128.1 
BPDU Received :$0 
TCN: 0, Config: 50, RST: 0, MST: 0 
—--[Port2(Ethernet0/0/2)][DISCARDING]---- 


Port Protocol :Enabled 
Port Role :Alternate Port 
Port Priority :128 


Port Cost(DotIT) :Config=auto/Active=] 
Designated Bridge/Port :32768.4clf-cceb-658f/ 128.2 
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可 以 观察 到 S1 的 EE0/0/1 端口 为 转发 状态 、 端 口角 色 为 根 端口 ，E 0/0/2 端口 为 丢弃 
状态 ， 端 口角 色 Alternate， 即 替代 端口 。 
还 可 以 使 用 display stp brief 命令 在 S2、S3、S4 上 仅 查 看 摘要 信息 。 


[S2]display stp brief 

MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 

0 Ethernet0/0/2 ROOT FORWARDING NONE 

0 Ethemet0/0/3 DEST FORWARDING NONE 


在 交换 机 S2 上 所 有 的 端口 为 转发 状态 , 观察 到 E 0/0/1 和 EE 0/0/3 端口 角色 为 指定 端 


口 ，E 0/0/2 为 根 端口 。 
[S3]display stp brief 


MSTID Port Role STP State Protection 
0 Ethernet0/0/1 ROOT FORWARDING NONE 
0 Ethernet0/0/2 DESI FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 


在 交换 机 S3 上 E 0/0/3 端口 角色 为 Alternate 端口 ， 且 状态 为 丢弃 状态 ,该 端口 将 不 


会 转发 数据 流量 。 
[S4]display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 DESI FORWARDING NONE 


在 交换 机 S4 上 所 有 的 端口 角色 都 为 指定 端口 ， 且 端口 状态 都 为 转发 。 
可 以 初步 判断 4 台 交 换 机 中 S4 为 根 交 换 机 ， 因 为 该 交换 机 所 有 端口 都 为 指定 端口 。 
通过 display stp 命令 查看 生成 树 详 细 信 息 。 


[S4]display stp 

—-----[CIST Global Info][Mode STP]-----—- 

CIST Bridge :32768.4c1 人 ccac-3733 

Config Times :Hello 2s MaxAge 20s FwDIy 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDIy 15s MaxHop 20 
CIST RooVERPC :32768.4clf-ccac-3733 /0 


CIST RegRooUIRPC :32768.4clf-ccac-3733/0 


TE 


可 以 观察 到 “CIST Root” 和 “CIST Bridge” 相 同 ， 即 目前 根 交 换 机 ID 与 自身 的 交 
换 机 ID 相同， 说明 目 前 S4 为 根 交 换 机 。 

生成 树 运算 第 一 步 就 是 通过 比较 每 台 交 换 机 的 ID 选举 根 交 换 机 。 交 换 机 ID 由 交换 
机 优先 级 和 MAC 地 址 组 成 ， 首 先 比较 交换 机 优先 级 ， 数 值 最 低 的 为 根 交 换 机 ， 如 果 优 
先 级 一 样 ， 则 比较 MAC 地 址 ， 同 样 数值 最 低 的 选举 为 根 交 换 机 。 

目前 在 该 公司 的 二 层 拓扑 中 ，4 台 交 换 机 的 生成 树 都 刚刚 开始 运行 ， 交 换 机 优先 级 
都 为 默认 值 ， 即 都 相同 ， 故 根据 每 台 交换 机 的 MAC 地 址 来 选举 ， 通 过 比较 ， 最 终 确 定 
S4 为 根 交 换 机 。 

2. 配置 网 络 中 的 根 交 换 机 

根 交 换 机 在 网 络 中 的 位 置 是 非常 重要 的 ， 如 果 选 择 了 一 台 性 能 较 差 的 交换 机 ， 或 者 
是 部 署 在 接 入 层 的 交换 机 作为 根 交 换 机 ， 会 影响 到 整个 网 络 的 通信 质量 及 数据 传输 。 所 
以 确定 根 交换 机 的 位 置 极为 重要 。 根 交换 机 选举 依据 是 根 交 换 机 ID， 值 越 小 越 优先 ， 交 
换 机 默认 的 优先 级 为 32768， 当 然 该 值 是 可 以 修改 的 。 


第 4 章 生成 树 91 


现在 将 S1 配置 为 主根 交换 机 ，S2 为 备份 根 交换 机 , 将 S1 的 优先 级 改 为 0，S2 的 优 
先 级 改 为 4096。 
[Sllstp priority 0 


[S21]stp priority 4096 
配置 完成 后 查看 S1 和 S2 的 STP 状态 信息 。 


[Slldisplay stp 


------- [CIST Global Info][Mode STP]------- 

CIST Bridge :0 .4clf-cceb-beac 

Config Times :Hello 2s MaxAge 20s FEwDly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :0 .4clf-cceb-beac/ 0 


CIST RegRoot/IRPC :0 .4clf-cceb-beac /0 


[S2]display stp 

------- [CIST Global Info][Mode STP]------- 

CIST Bridge :4096 .4clf-ccbf-cbb5 

Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :0 .4clf-cceb-beac / 1 


CIST RegRoot/IRPC :4096 .4clf-ccbf-cbb5 /0 


通过 观察 发 现 S1 的 优先 级 变 为 了 0， 为 根 交 换 机 ;而 S2 的 优先 级 变 为 了 4096， 为 
备份 根 交换 机 。 

这 里 还 可 以 使 用 另外 一 种 方式 配置 主根 交换 机 和 备份 根 交 换 机 。 

首先 删除 在 S1 上 所 配置 的 优先 级 ， 使 用 stp root primary 命令 配置 主根 交换 机 。 


[S1jundo stp priority 


[S1]stp root primary 
删除 在 S2 上 所 配置 的 优先 级 ， 使 用 stp root secondary 命令 配置 备份 根 交 换 机 。 


[Sl]jundo stp priority 


[S21]stp root secondary 

配置 完成 后 查看 STP 的 状态 信息 ， 与 前 一 种 方法 得 到 的 一 致 ， 此 时 S1 自动 更 改 优 
先 级 为 0， 而 S2 更 改 为 4096。 

3. 理解 根 端口 的 选举 

生成 树 在 选举 出 根 交 换 机 之 后 ， 将 在 每 台 非 根 交 换 机 上 选举 根 端口 。 选 举 时 首先 比 
较 该 交换 机 上 每 个 端口 到 达 根 交换 机 的 根 路 径 开 销 , 路 径 开 销 最 小 的 端口 将 成 为 根 端口 。 
如 果 根 路 径 开销 值 相同 , 则 比较 每 个 端口 所 在 链 路 上 的 上 行 交 换 机 ID, 如 果 该 交换 机 ID 
也 相同 , 则 比较 每 个 端口 所 在 链 路 上 的 上 行 端口 了 p。 每 台 交 换 机 上 只 能 拥有 一 个 根 端 口 。 

目前 S1 为 主根 交换 机 ， 而 S2 为 备份 根 交 换 机 ， 查 看 S4 上 生成 树 信息 。 


[S4]display stp brief 

MSTID Port Role STP State Protection 
0 Ethernet0/0/1 ALTE DISCARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 


可 以 观察 到 ， 现 在 S4 的 E 0/0/2 为 根 端口 ， 状 态 为 转发 状态 。S4 在 选举 根 端口 时 ， 
首先 比较 根 路 径 开 销 ， 由 于 拓扑 中 所 有 链 路 都 是 相同 的 百 兆 以 太 网 链 路 ，S4 经 过 S3 到 
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S1 与 经 过 S2 到 S1 的 开销 值 相同 接 下 来 比较 $S4 的 两 台 上 行 链 路 的 交换 机 S2 和 $3 的 
交换 机 标识 ，S2 目前 的 交换 机 优先 级 为 4096， 而 S3 为 默认 的 32768， 所 以 与 $2 连接 的 


E 0/0/2 接口 被 选 为 根 端口 。 
查看 S4 的 E 0/0/2 接口 开销 值 。 


<S4>display stp interface Ethernet 0/0/2 
--—-[Port2(Ethernet0/0/2)][FORWARDING]---- 


Port Protocol :Enabled 
Port Role :Root Port 
Port Priority :128 


Port Cost(DotIT) :Config=auto /Active=] 
Designated Bridge/Port :4096.4clf-ccbf-cbb5/ 128.2 


可 以 观察 到 ， 接 口 路 径 开 销 采 用 的 是 Dot1T 的 计算 方法 ，Config 是 指 手工 配置 的 路 


径 开 销 ，Active 是 实际 使 用 的 路 径 开 销 ， 开 销 值 为 1。 
配置 S4 的 E0/0/2 接口 的 代价 值 为 2000， 即 增加 该 接口 默认 的 代价 值 。 


[S4]interface ethernet0/0/2 

[S4-Ethernet0/0/2]stp cost 2000 

配置 完成 后 再 次 查看 S4 的 E 0/0/2 接口 开销 值 以 及 STP 状态 摘要 信息 。 
<S4>display stp interface Ethernet 0/0/2 

----[Port2(Ethernet0/0/2)][DISCARDING]---- 


Port Protocol :Enabled 
Port Role :Alternate Port 
Port Priority :128 


Port Cost(DotIT) :Config=2000/Active=2000 
Designated Bridge/Port :4096.4clf-ccbf-cbb5 / 128.2 


[S4]display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 ROOT FORWARDING NONE 
0 Ethernet0/0/2 ALIE DISCARDING NONE 


发 现 此 时 E 0/0/1 端口 角色 变 成 了 根 端口 ， 而 E 0/0/2 变 成 了 Alternate 端口 。 这 是 由 
于 将 E 0/0/2 接口 的 开销 修改 为 2000 之 后 ,在 选举 根 端口 时 ,其 到 根 路 径 开销 大 于 E 0/0/1 


的 根 路 径 开 销 。 
4， 理解 指定 端口 的 选举 


生成 树 协议 在 每 台 非 根 交 换 机 选举 出 根 端口 之 后 ， 将 在 每 个 网 段 上 选举 指定 端口 ， 


选举 的 比较 规则 和 选举 根 端口 类 似 。 


现在 网 络 管理 员 需 要 确保 S2 连接 S3 的 EE 0/0/3 接口 被 选择 为 指定 端口 ， 可 以 通过 


修改 端口 开销 值 来 实现 。 
为 了 模拟 该 场景 ， 将 $2 的 优先 级 恢复 为 默认 的 32768。 
[S2jundo stp root 
配置 完成 后 ， 查 看 S2 的 STP 状态 信息 。 
[S2]display stp 
-------[CIST Global Info][Mode STP]------- 


CIST Bridge ;32768. 4c1frccbf-cbb5 
Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
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查看 S2 与 S3 的 STP 状态 摘要 信息 。 


[S21]display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 ROOT FORWARDING NONE 
0 Ethernet0/0/2 DESI FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 


[S31]display stp brief 


MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 

0 Ethernet0/0/2 ROOT FORWARDING NONE 

0 Ethernet0/0/3 DESI FORWARDING NONE 
Ethernet0/0/10 DESI FORWARDING NONE 
Ethernet0/0/11 DESI FORWARDING NONE 


通过 观察 发 现在 S2 与 S3 间 的 链 路 上 ,选择 了 S3 的 E 0/0/3 接口 为 指定 端口 , 而 S2 
的 E 0/0/3 接口 为 Alternate 端口 。 这 是 由 于 在 选举 指定 端口 时 ， 首 先 比 较 两 个 端口 的 根 
路 径 开销 , 目前 都 相同 ; 接着 比较 上 行 交 换 机 的 ID, 此 时 S2 和 $3 的 交换 机 优先 级 相同 ， 
故 比较 MAC 地 址 ， 最 后 通过 比较 MAC 地 址 得 出 。 

查看 S2 和 S3 的 E 0/0/3 接口 信息 。 


<S2>display interface Ethernet 0/0/3 
Ethernet0/0/3 current state : UP 


Current system time: 2013-08-30 13:48:06-08:00 
Hardware address is 4c1 仑 ccb 人 cbb5 
Last 300 seconds input rate 0 bytes/sec, 0 packets/sec 


<S3>display interface Ethemet 0/0/3 
Ethernet0/0/3 current state : UP 


Current system time: 2013-08-30 13:49:15-08:00 
Hardware address is 4clf-ccb0-58df 
Last 300 seconds input rate 0 bytes/sec, 0 packets/sec 


Wns 


可 以 观察 到 ，S2 上 E 0/0/3 接口 的 MAC 地 址 大 于 S3 上 E 0/0/3 接口 的 MAC 地址 ， 
所 以 该 网 段 上 S3 的 E 0/0/3 接口 成 为 指定 接口 。 

修改 S3 的 E0/0/2 接口 的 开销 值 ， 将 该 值 增 大 〈 默 认为 1)， 即 增 大 该 端口 上 的 根 路 
径 开 销 ， 确 保 让 S2 的 E 0/0/3 接口 成 为 指定 端口 。 


[S3]interface Ethernet 0/0/2 
[S3-Ethernet0/0/2]stp cost 2 


配置 完成 后 查看 S2 的 STP 状态 摘要 信息 。 


[S2]display stp brief 


MSTID Port Role STP State Protection 
0 Ethernet0/0/1 ROOT FORWARDING NONE 
0 Ethernet0/0/2 DESI FORWARDING NONE 
0 Ethermnet0/0/3 DESI FORWARDING NONE 


根据 STP 计算 规则 选择 指定 端口 时 ， 最 终 选 择 S2 的 E 0/0/3 接口 作为 指定 端口 。 
为 了 验证 现在 能 够 确保 S2 的 了 0/0/3 接口 成 为 指定 端口 ， 下 面 将 $3 的 优先 级 调整 
为 4096， 并 查看 。 
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[S3]stp priority 4096 
[S3]display stp 
-------[CIST Global Info][Mode STP]------- 
CIST Bridge :4096. 4c1Eccb0-58df 
Config Times :Hello 2s MaxAge 20s FwDI]y 15s MaxHop 20 
再 次 查看 S2 和 S3 的 STP 状态 。 
[S21]display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 ROOT FORWARDING NONE 
0 Ethernet0/0/2 DESI FORWARDING NONE 
0 Ethernet0/0/3 DESI FORWARDING NONE 
[S3]display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 


ws 


可 以 观察 到 ， 即 使 将 $3 的 优先 级 修改 得 比 S2 的 优先 级 值 更 低 ， 但 是 S2 的 EE 0/0/3 
接口 仍然 为 指定 端口 ， 而 S3 的 E 0/0/3 接口 还 是 Altermate 端口 ， 再 次 验证 了 在 选举 指定 
端口 时 首先 比较 根 路 径 开销 的 规则 。 


思考 
在 什么 场景 下 ， 选 举 根 端口 、 指 定 端口 时 会 比较 到 端口 ID? 


4.2 配置 STP 定时 器 


原理 概述 


普通 生成 树 STP 不 能 实现 快速 收敛 ,但 是 在 STP 中 诸如 Hello Time 定时 器 、Max Age 
定时 器 、Forward Delay 定时 器 、 未 收 到 上 游 的 BPDU 就 重新 开始 生成 树 计 算 的 超时 时 间 
等 参数 会 影响 其 收敛 速度 。 通 过 配置 合适 的 系统 参数 , 可 以 使 STP 实现 最 快 的 拓扑 收 和 敛 。 
下 面 首 先 介绍 STP 定时 器 。 

加 Hello Time 定时 器 : Hello Time 为 周期 发 送 BPDU 来 维护 生成 树 的 稳定 的 时 间 ， 
默认 为 28。 如 果 交 换 机 在 配置 的 超时 时 间 内 没有 收 到 上 游 交 换 机 发 送 的 BPDU， 则 会 重 
新 进行 生成 树 计 算 。 在 根 交 换 机 上 配置 的 Hello Time 将 作为 整个 生成 树 内 所 有 交换 机 的 
Hello Time。 

国 Max Age 定时 器 :; BPDU 的 最 大 生存 时 间 ， 默 认为 20s， 交 换 机 通过 比较 从 上 
游 交 换 机 收 到 的 BPDU 中 携带 的 Message Age (配置 BPDU 的 生存 时 间 ， 如 果 配 置 
BPDU 是 根 桥 发 出 的 ， 则 Message Age 为 0， 每 经 过 一 台 交 换 机 增加 1) 和 Max Age， 
来 判断 此 BPDU 是 否 超 时 。 如 果 收 到 的 BPDU 超时 ， 交 换 机 将 该 BPDU 老化 ， 同 时 
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阻塞 接收 该 BPDU 的 接口 ,并 开始 发 出 以 自己 为 根 桥 的 BPDU。 这 种 老化 机 制 可 以 有 
效 地 控制 生成 树 的 半径 。 在 根 交 换 机 上 配置 的 Max Age 将 作为 整个 生成 树 内 所 有 交 
换 机 的 Max Age。 

国 Forward Delay 定时 器 : 此 延迟 时 间 为 Forward Delay 定时 器 的 时 间 ， 默 认为 15s。 
链 路 故障 会 引发 网 络 重新 进行 生成 树 的 计算 ， 生 成 树 的 结构 将 发 生 相 应 的 变化 。 不 过 重 
新 计算 得 到 的 新 配置 消息 无 法 立刻 传 遍 整个 网 络 ， 如 果 新 选 出 的 根 端口 和 指定 端口 立刻 
就 开始 数据 转发 的 话 ， 可 能 会 造成 临时 环 路 。 为 此 ，STP 采用 了 一 种 端口 状态 迁移 机 制 ， 
新 选 出 的 根 端口 和 指定 端口 要 经 过 2 倍 的 Forward Delay 延 时 后 才能 进入 转发 状态 ， 这 
个 延 时 保证 了 新 的 配置 消息 传 融 整个 网 络 , 使 所 有 参与 STP 计算 的 交换 都 能 正确 知晓 网 
络 状态 ， 从 而 防止 了 临时 环 路 的 产生 。 在 华为 交换 机 设备 上 ， 由 于 默认 生成 树 模 式 为 
MSTP, 当 手 工 更 改 生 成 树 模式 为 STP 时 ,STP 的 端口 状态 同样 只 有 Discarding、Learning、 
Forwarding 3 种 。 在 根 交 换 机 上 配置 的 延迟 时 间 将 作为 整个 生成 树 内 所 有 交换 机 的 延迟 
时 间 。 

超时 时 间 二 3X Hello TimeXTimer Factor。 如 果 交 换 机 在 配置 的 超时 时 间 内 没有 收 到 
上 游 发 送 的 BPDU， 就 认为 上 游 交 换 机 已 经 出 现 故障 ， 然 后 会 重新 进行 生成 树 拓扑 的 计 
算 。 但 是 有 时 交换 机 在 较 长 的 时 间 内 收 不 到 上 游 发 送 的 BPDU， 是 由 于 上 游 交 换 机 的 繁 
忙 造成 的 ， 在 这 种 情况 下 一 般 不 应 该 重新 进行 生成 树 计 算 。 因 此 ， 在 稳定 的 网 络 中 ， 应 
将 超时 时 间 配 置 得 长 一 些 , 以 减少 网 络 资源 的 浪费 。 建议 将 Timer Factor 的 值 设置 为 5 一 
7， 以 增强 网 络 稳定 性 。 

根 交 换 机 的 Hello Time、Forward Delay 以 及 Max Age 3 个 时 间 参 数 之 间 取 值 应 该 满 
足 如 下 公式 ， 否 则 网 络 会 频繁 震荡 。 

2X( Forward Delay 一 1.0 second ) 字 Max Age 
Max Age 三 2X(Hello Time 十 1.0 second ) 

建议 使 用 stp bridge-diameter 命令 配置 网 络 直径 , 交换 机 会 自动 根据 网 络 直径 计 
算出 Hello Time、Forward Delay 以 及 Max Age 3 个 时 间 参 数 的 最 优 值 。 默 认 网 络 直径 
为 us 
实验 目的 


。 理 解 STP 中 定时 器 的 作用 

。 掌 握 STP 定时 器 的 配置 命令 

。 掌 握 查 看 STP 定时 器 的 生效 方法 
。 理解 STP 定时 器 的 最 佳 设置 方法 


实验 内 容 


本 实验 模拟 企业 网 络 场 景 。 公 司 内 网 是 一 个 大 的 局 域 网 ， 由 4 台 交 换 机 两 两 相连 组 
成 的 一 个 环形 网 络 。 为 了 避免 形成 环 路 ， 每 台 交 换 机 都 运行 了 STP 生成 树 协议 ， 且 配置 
S1 为 根 交 换 机 ，S2 为 备份 根 交 换 机 。 现 在 为 了 优化 网 络 ， 在 网 络 变化 时 加 快 STP 的 收 
敛 速度 ， 需 要 在 交换 机 上 更 改 STP 定时 器 的 设置 ， 将 所 有 定时 器 调整 到 最 优 值 ， 完 成 
STP 的 加 速 收敛 。 
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实验 拓扑 
配置 STP 定时 器 的 拓扑 如 图 4-2 所 示 。 


Sl S2 
3 Ethernet 0/0/10 3) Ethernet 0/0/1 习 Ethernet 0/0/10 有 
NE < 
Ethernet 0/0/1 Sa Ethernet 0/0/1 = Ethernet 0/0/1 














PC-1 Re 

i Ethernet 0/0/4 tema OD/ 10.1.1.2 
Ethernet 0/0/4 Ethemet 0/0/2 
和 Ethernet 0/0/10 习 Ethernet 0/0/3 3 Ethernet 0/0/10 | 
Nm 一 一 
Ethernet 0/0/1 ‘Tame Ethernet 0/0/3 sr Ethernet 0/0/1 

PC-3 S3 S4 PC-4 

1011. 六 10.1.1.4 





图 4-2 配置 STP 定时 器 拓扑 


实验 编 址 


实验 编 址 见 表 4-2。 
表 4-2 实验 编 址 


IP 地 址 子 网 接 码 
Ethemet 0/0/1 


Ethernet 0/0/1 10.1.1.2 255.255.255.0 
Ethernet 0/0/1 10.1.1.3 255.255.255.0 
Ethernet 0/0/1 10.1.1.4 255.255.255.0 





MAC 地 址 
本 实验 的 MAC 地 址 见 表 4-3。 
表 4-3 MAC 地 址 
设备 全 局 MAC 地 址 
S1 (S3700) 4clfcc73-c72d 
S2 (S3700) 4clf-ccf4-3d05 
S3 (S3700) 4clf-cca5-443e 
S4 (S3700) 4clf-ccb9-8907 
实验 步骤 
1. 基本 配置 


根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
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PC>ping 10.1.1.2 
Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.2: bytes=32 seq=l ttl=128 time=47 ms 
From 10.1.1.2: bytes=32 seq=2 ttl=128 time=32 ms 
From 10.1.1.2: bytes=32 seq=3 ttl=128 e=78 ms 
From 10.1.1.2: bytes=32 seq=4 ttl=128 time=79 ms 
From 10.1.1.2: bytes=32 seq=5 ttl=128 time=46 ms 
--- 10.1.1.2 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 32/56/79 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 配置 STP 定时 器 
在 4 台 交 换 机 上 配置 使 用 STP， 并 配置 S1 为 该 二 层 网 络 中 的 根 交 换 机 ，S2 为 备份 


[Sll]stp enable 
[Sllstp mode stp 
[S1]stp root primary 


[S2]stp enable 
[S2]stp mode stp 
[S21]stp root secondary 


[S3]stp enable 
[S31]stp mode stp 


[S4]stp enable 

[S41stp mode stp 

配置 完成 后 ， 使 用 display stp 命令 查看 各 定时 器 的 默认 值 。 
<Sl>display stp 

-------[CIST Global Info][Mode STP]------- 

CIST Bridge :0 .4clf-ce73-c72d 

Config Times :Hello 2s MaxAge 20s FwDIly 15s MaxFop 20 

Active Times :Hello 2s MaxAge 20s FwDIy 15s MaxHop 20 

CIST Root/ERPC :0 4clf-ce73-c72d /0 


可 以 查看 到 在 默认 情况 下 ，BPDU 每 2 秒 发 送 一 次 (Hello)，BPDU 的 最 大 老化 时 
间 为 20s (MaxAge)， 转 发 延迟 为 15s (FwDly)， 最 大 传递 跳 数 为 20 跳 (MaxHop)。 注 
意 ，Config Times 标识 的 是 当前 设备 配置 的 计时 器 ， 而 Active Times 标识 的 是 正在 生效 
的 计时 器 ， 一 般 情 况 下 二 者 是 完全 相同 的 。 

在 PC-4 上 使 用 ping -t 命令 持续 发 送 ICMP 报 文 ， 进 行 连通 性 测试 。 

PC>ping 10.1.1.2 -t 

Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break 

From 10.1.1.2: bytes=32 seq=] ttl=128 time=109 ms 

From 10.1.1.2: bytes=32 seq=2 ttl=128 time=109 ms 

From 10.1.1.2: bytes=32 seq=3 ttl=128 time=79 ms 


From 10.1.1.2: bytes=32 seq=4 ttl=128 time=78 ms 
From 10.1.1.2: bytes=32 seq=5 ttl=128 time=109 ms 


Per 
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可 以 观察 到 ， 此 时 网 络 稳定 ， 没 有 出 现任 何 丢 包 现象 。 

在 S1 上 修改 STP 的 Forward Delay 时 间 为 2000cs， 默 认为 1500cs，cs 代表 百 分 之 
一 秒 。 注 意 ， 只 有 在 根 交 换 机 上 进行 该 配置 才 会 生效 。 

[Sill]stp timer forward-delay 2000 

配置 完成 后 ， 交 换 机 会 弹出 信息 ， 提 示 配 置 已 经 被 改变 。 


[SllJun 21 2013 05:57:28-08:00 S1 DS/4/DATASYNC CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3.1 configurations 
have been changed. 


使 用 display stp 命令 查看 此 时 的 定时 器 值 。 


<S1>display stp 

-------[CIST Global Info][Mode STP]------- 

CIST Bridge :0 .4clf-cc73-c72d 

Config Times :Hello 2s MaxAge 208FwDly 20s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDly 20s MaxHop 20 
CIST Root/ERPC :0 .4clf-cc73-c72d /0 


PEE 


可 以 观察 到 ， 此 时 修改 已 经 完成 。 如 果 在 非 根 交换 机 上 配置 ， 那 么 Config Times 配 
置 值 会 发 生 改变 ， 而 Active Times 实际 运行 值 不 会 改变 。 

再 回 到 PC-4 上 观察 到 PC-2 的 连通 性 测试 结果 。 

From 10.1.1.2: bytes=32 seq=46 tl=128 time=78 ms 

From 10.1.1.2: bytes=32 seq=47 ttl=128 time=109 ms 

From 10.1.1.2: bytes=32 seq=48 ttl=128 time=110 ms 

From 10.1.1.2: bytes=32 seq=49 ttl=128 time=78 ms 

Request timeout! 

Regquest timeout! 

Request timeout! 


观察 到 出 现 大 量 丢 包 现象 。 

如 果 更 改 STP 的 Hello Time 时 间 及 其 他 计时 器 也 会 出 现 相 同 的 现象 , 这 里 不 再 歼 述 。 
所 以 不 建议 使 用 命令 直接 修改 定时 器 时 间 , 而 建议 使 用 stp bridge-diameter 命 令 设置 网 络 
直径 ， 交 换 机 会 根据 网 络 直径 自动 计算 出 3 个 时 间 参 数 的 最 优 值 。 注 意 ， 本 命令 需要 在 
根 交 换 机 上 配置 才能 生效 。 

在 S1 上 使 用 stp bridge-diameter 3 命令 设置 网 络 的 直径 为 3。 





[Sllstp bridge-diameter 3 

配置 完成 后 ， 观 察 STP 计时 器 的 改变 情况 。 
[Sl]display stp 

-------[CIST Global Info][Mode STP] 

CIST Bridge :0 .4c1fcc73-c72d 

Config Times :Hello 2s MaxAge 12s FwDly 9s MaxHop 20 
Active Times :Hello 2s MaxAge 12s FwDIly 9s MaxHop 20 


可 以 观察 到 ， 此 时 最 大 老化 时 间 被 自动 修改 为 12s， 转 发 延迟 被 目 动 修改 为 9s。 
同时 对 PC-4 到 PC-2 连通 性 测试 结果 再 次 进行 观察 。 

From 10,1,1.2: bytes=32 seq=18 ttl=128 time=63 ms 

From 10.1.1.2: bytes=32 seq=19 ttl=128 time=78 ms 

Request timeout! 

Request timeout! 


Request timeout! 
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Request timeout! 

From 10.1.1.2: bytes=32 seq=30 ttl=128 time=78 ms 
From 10.1.1.2; bytes=32 seq=31 ttl=128 time=78 ms 
From 10.1.1.2: bytes=32 seq=32 ttl=128 time=62 ms 


可 以 观察 到 ， 此 时 网 络 恢复 了 正常 。 

3. 验证 Forward Delay 定时 器 

为 了 验证 Forward Delay 时 间 对 端口 状态 迁移 的 影响 ， 仍 然 维持 上 一 步骤 中 PC-4 到 
PC-2 的 连通 性 测试 。 

在 S1、S2、S3、S4 上 查看 STP 下 的 各 个 端口 的 状态 。 


<S1>display stp brief 

MSTID Port Role STP State Protection 
0 Ethermet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/4 DESI FORWARDING NONE 
0 Ethernet0/0/10 DESI FORWARDING NONE 


可 以 观察 到 ， 由 于 S1 是 根 交 换 机 ， 所 以 S1 的 所 有 端口 都 是 DP 端口 即 指定 端口 ， 
所 处 状态 都 是 转发 状态 TGN o 
同 理 观察 其 他 交换 机 的 STP 接口 状态 。 


<S2>display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/] ROOT FORWARDING NONE 
0 Ethernet0/0/2 DESI FORWARDING NONE 
0 Ethernet0/0/10 DESI FORWARDING NONE 
<S3>display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/3 DESI FORWARDING NONE 
0 Ethernet0/0/4 ROOT FORWARDING NONE 
0 Ethernet0/0/10 DESI FORWARDING NONE 
<S4>display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethemet0/0/3 ALIE DISCARDING NONE 
0 Ethermet0/0/10 DESI FORWARDING NONE 


可 以 观察 到 ,此 时 S2 和 S3 接口 都 属于 转发 状态 , S4 的 E 0/0/2 接口 为 根 端口 ,E 0/0/3 
接口 处 于 阻塞 状态 。 

现在 将 S4 的 EE0/0/2 接口 关闭 ， 使 E 0/0/3 接口 成 为 新 的 根 端口 。 

请 注意 ， 在 华为 交换 机 上 ， 当 从 MSTP 模式 切换 到 STP 模式 ， 运 行 STP 协议 的 设 
备 上 端口 支持 的 端口 状态 仍然 保持 和 MSTP 支持 的 端口 状态 一 样 ， 仅 包括 Forwarding、 
Learning 和 Discarding。 又 由 于 华为 交换 机 上 默认 的 STP 模式 为 MSTP， 故 本 实验 中 ， 
STP 仅 支 持 3 个 状态 ，S4 的 E 0/0/3 接口 会 从 Discarding 状态 ， 再 经 过 Learning 过 渡 状 


态 ， 最 终 到 Forwarding 状态 ， 只 需 经 历 一 个 Forward Delay 的 时 间 。 
[S4linterface Ethernet 0/0/2 
[S$4-Ethernet0/0/2]shutdown 
配置 完成 后 ， 观 察 连通 性 测试 结果 。 
From 10.1.1.2; bytes=32 seq=11 ttl=128 time=109 ms 
From 10.1.1,2: bytes=32 seq=12 ttl=128 time=109 ms 
From 10.1.1.2: bytes=32 seq=13 ttl=128 time=47 ms 
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From 10.1.1.2: bytes=32 seq=14 ttl=128 time=47 ms 
Reguest timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
From 10.1.1.2: bytes=32 seq=15 ttl=128 time=47 ms 
From 10.1.1.2; bytes=32 seq=16 ttl=128 time=63 ms 
From 10.1.1.2: bytes=32 seq=17 ttl=128 time=32 ms 


可 以 观察 到 ， 此 时 丢失 了 9 个 数据 包 。 这 是 因为 根据 上 一 步骤 的 配置 结果 ，Forward 
Delay 时 间 为 9gs, 即 S4 上 该 端口 从 Discarding 状态 经 过 Learning 状态 , 最终 到 Forwarding 
状态 需要 一 个 Forwad Delay 的 时 间 间 隔 。 

恢复 S4 的 下 0/0/2 接口 ， 并 在 根 交 换 机 R1 上 更 改 网 络 直径 为 默认 值 7。 


[S4linterface Ethernet 0/0/2 
[S4-Ethernet0/0/2]undo shutdown 


[Sl]stp bridge-diameter 7 

配置 完成 后 ， 查 看 S1 上 的 STP 信息 。 

[Slldisplay stp 

-------[CIST Global Info][Mode STP]------- 

CIST Bridge :0 .4c1 人 cc73-c72d 

Config Times :Hello 2s MaxAge 20sSFwDly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 


可 以 观察 到 ，Forward 时 间 已 被 目 动 修改 为 15s。 
现在 采用 相同 的 方法 ,关闭 S4 上 的 E 0/0/2 接口 ,测试 丢 包 情况 。 并 在 配置 完成 后 ， 
From 10.1.1.2: bytes=32 seq=33 ttl=128 time=53 ms 
From 10.1.1.2: bytes=32 seq=34 ttl=128 time=17 ms 
From 10.1.1.2: bytes=32 seq=35-ttl=]128 time=30 ms 
From 10.1.1.2: bytes=32 seq=36 ttl=128 time=45 ms 
Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Regquest timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 
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From 10.1.1.2: bytes=32 seq=37 ttl=128 time=31 ms 
From 10.1.1.2: bytes=32 seq=38 ttl=128 time=37 ms 
From 10.1.1.2: bytes=32 seq=39 ttl=128 time=52 ms 


可 以 观察 到 ， 丢 包 共 17 个 ， 即 验证 了 端口 状态 迁移 从 Discarding 状态 到 Forwarding 
状态 经 过 了 一 个 Forward Delay 的 15s 时 间 间 隔 。 


思考 
交换 机 端口 在 发 生 状 态 转换 时 ， 都 有 哪些 状态 会 经 历 一 个 Forward Delay? 


4.3 RSTP 基础 配置 


原理 概述 


IEEE 于 2001 年 发 布 的 802.1w 标准 定义 了 RSTP (Rapid Spanning-Tree Protocol， 
快速 生成 树 协议 )， 该 协议 基于 STP 协议 ， 对 原 有 的 STP 协议 进行 了 更 加 细致 的 修改 
和 补充 。 

STP 协议 虽然 能 够 解决 环 路 问题 ， 但 是 也 存在 一 些 不 足 ， 比 如 STP 没有 细致 区 分 端 
口 状态 和 端口 角色 ; 其 次 STP 端口 状态 共有 5 种 ， 即 Discarding、Blocking、Listening、 
Learning 和 Forwarding， 收 敛 较 慢 。 而 且 ， 对 于 用 户 来 说 Listening、Learning 和 Blocking 
状态 并 没有 区 别 ， 都 不 转发 流量 。 根 据 STP 的 不 足 ，RSTP 做 出 了 改进 。 

RSTP 新 增加 了 2 种 端口 角色 ， 其 端口 角色 共有 4 种 : 根 端口 、 指 定 端口 、Alternate 
端口 和 Backup 端口 。 根 端口 和 指定 端口 的 作用 与 STP 协议 中 相同 ，Alternate 端口 和 
Backup 端口 的 描述 如 下 : 

国 Alternate 端口 就 是 由 于 学 习 (Learning) 到 其 他 网 桥 发 送 的 配置 BPDU 报 文 而 阻 
塞 的 端口 ，Alternate 端口 提供 了 从 指定 桥 到 根 的 另 一 条 可 切换 路 径 ， 作 为 根 端口 的 备份 
端口 ; 

国 Backup 端口 就 是 由 于 学 习 到 自身 发 送 的 配置 BPDU 报 文 而 阻塞 的 端口 ，Backup 
端口 作为 指定 端口 的 备份 ， 提 供 了 另 一 条 从 根 桥 到 相应 网 段 的 备份 通路 。 

RSTP 把 原来 的 5 种 状态 缩减 为 3 种 。 根 据 端口 是 否 转发 用 户 流量 和 学 习 MAC 地 址 
来 划分 : 如 果 不 转 发 用 户 流量 也 不 学 习 MAC 地 址 ， 那 么 端口 状态 就 是 Discarding 状态 ; 
如 果 不 转 发 用 户 流量 但 是 学 习 MAC 地 址 ， 那 么 端口 状态 就 是 Learning 状态 ; 如 果 既 转 
发 用 户 流量 又 学 习 MAC 地 址 ， 那 么 端口 状态 就 是 Forwarding 状态 。 

RSTP 的 快速 收敛 机 制 可 分 为 以 下 3 种 。 

图 Proposal/Agreement 机 制 : 当 一 个 端口 被 选举 成 为 指定 端口 之 后 ， 在 STP 中 ， 该 
端口 至 少 要 等 待 一 个 Forward Delay (Learning) 时 间 才 会 迁移 到 Forwarding 状态 。 而 在 
RSTP 中 , 此 端口 会 先进 入 Discarding 状态 , 再 通过 Proposal/Agreement 机 制 ( 可 简称 “P/A 
机 制 ”) 快速 进入 Forwarding 状态 。 这 种 机 制 必须 在 点 到 点 全 双 工 链 路 上 使 用 ; 

量 根 端口 快速 切换 机 制 : 如 果 网 络 中 一 个 根 端口 失效 , 那么 网 络 中 最 优 的 Alternate 
端口 将 成 为 根 端口 ,进入 Forwarding 状态 。 因 为 通过 这 个 Alternate 端口 连接 的 网 段 上 必 
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然 有 个 指定 端口 可 以 通 往 根 桥 。 

图 边缘 端口 的 引入 : 在 RSTP 里 面 ， 如 果 某 一 个 指定 端口 位 于 整个 网 络 的 边缘 ， 
即 不 再 与 其 他 交换 设备 连接 ， 而 是 直接 与 终端 设备 直 连 ， 这 种 端口 叫做 边缘 端口 。 边 
缘 端 口 不 接收 处 理 配 置 BPDU, 不 参与 RSTP 运算 ,可 以 由 Disable 直接 转 到 Forwarding 
状态 ， 且 不 经 历时 延 ， 就 像 在 端口 上 将 STP 禁用 。 但 是 一 旦 边缘 端口 收 到 配置 BPDU， 
就 丧失 了 边缘 端口 属性 ， 成 为 普通 STP 端口 ， 并 重新 进行 生成 树 计 算 ， 从 而 引起 网 络 
实验 目的 

e 理解 RSTP 的 应 用 场景 

。 掌握 RSTP 的 基本 配置 


e 掌握 RSTP 的 边缘 端口 的 应 用 
e 理解 RSTP 备份 端口 


实验 内 容 


本 实验 模拟 公司 网 络 场景 。S3 和 S4 是 接 入 层 交 换 机 ， 负 责 用 户 的 接 入 ，S1 和 S2 
是 汇聚 层 交 换 机 ， 四 台 交 换 机 组 成 一 个 环形 网 络 。 为 了 防止 网 络 中 出 现 环 路 ， 产 生 网 络 
风暴 ， 所 有 交换 机 上 都 需要 运行 生成 树 协议 。 同 时 为 了 加 快 网 络 收敛 速度 ， 网 络 管理 员 
选择 使 用 RSTP 协议 ， 且 使 得 性 能 较 好 的 S1 为 根 交 换 机 ，S2 为 次 根 交 换 机 ， 并 配置 边 
缘 端口 进一步 优化 公司 网 络 。 


实验 拓扑 
RSTP 基础 配置 拓扑 如 图 4-3 所 示 。 


GE 0/0/1 GE 0/0/1 







GE 0/0/2 


Ethernet 0/0/2 Ethermet 0/0/2 


“Ethernet0/0/3 Ethernet0/0/2 _ Ethernet 0/0/0 





一 Ethernet 0/0/3 SS 
Ethernet 0/0/4 Ethernet0/0/4 
Ethernet 0/0/1 HUBI Ethernet 0/0/1 


Ethernet 0/0/1 Ethemet 0/0/1 





PC-1 PC-2 
而 





图 4-3 RSTP 基础 配置 拓扑 
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实验 编 址 


实验 编 址 见 表 4-4。 
表 4-4 实验 编 址 


IP 地 址 子 网 挤 码 
Ethernet0/0/1 | 101.1.1 | 255.255.255.0 
Ethernet 0/0/1 10.1.1.2 255.255.255.0 











MAC 地 址 
本 实验 的 MAC 地 址 见 表 4-5。 
表 4-5 MAC 地 址 
设备 全 局 MAC 地 址 
Sl1 (S3700) 4clf-cc33-9812 
S2 (S3700) 4clf-cc4a-bea9 
S3 (S3700) 4clf-cc32-b9d7 
S4 (S3700) 4clf-cc10-279a 
实验 步骤 
1. 基本 配置 


根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。PC-1 的 配置 如 图 4-4 所 示 ，PC-2 的 配置 方法 相同 ， 此 处 省 略 。 


基础 也 置 || 命令 行 ”|| 组 播 ”| upp 发 包工 具 


主机 名 ; Pe: 


ipv4 配置 

他 静态 © DHCP 网 自动 获取 DN5 骤 务 器 地 址 

Ip 地址; WO DNS1: | 
子 网 掩 码 : [255 .255 .255 . 0 DNS2: "i 
网 关 : 0 0 0 0 

iPv5 配置 

他 静态 © DHCPv6 

IPv6 地 址 区 

前 垦 发 度 [zw 


图 4-4 PC-1 配置 界面 
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配置 完成 后 ， 测 试 主机 间 的 连通 性 。 
PC>ping 10.1.1.2 
Ping 10.1.1.2: 32 data bytes, Press Ctrl C to break 
From 10.1.1.2: bytes=32 seq=] ttl=128 time=47 ms 
From 10.1.1.2: bytes=32 seq=2 ttl=128 time=62 ms 
From 10.1.1.2: bytes=32 seq=3 ttl=128 time=32 ms 
From 10.1.1.2: bytes=32 seq=4 ttl=128 time=78 ms 
From 10.1.1.2: bytes=32 seq=5 ttl=128 time=31 ms 
--- 10.1.1.2 ping statistics --- 

$5 packet(s) transmitted 

$ packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 31/50/78 ms 


可 以 观察 到 ， 连 通 性 测试 成 功 。 

2. 配置 RSTP 基本 功能 

在 汇聚 层 交 换 机 S1、S2 及 接 入 层 交 换 机 S3、S4 上 ， 把 生成 树 模式 由 默认 的 MSTP 
改 为 RSTP。 由 于 华为 交换 机 上 默认 即 开启 了 MSTP， 故 只 需 修改 生成 树 模 式 即 可 。 


[Sllstp mode rstp 
Info: This operation may take a few seconds. Please wait for a moment...done. 


[S21]stp mode rstp 
Info: This operation may take a few seconds. Please wait for a moment...done. 


[S3]stp mode rstp 
Info: This operation may take a few seconds. Please wait for a moment...done. 


[S4]stp mode rstp 
Info: This operation may take a few seconds. Please wait for a moment...done. 


配置 完成 后 ， 在 交换 机 S1、S2、S3 和 S4 上 都 使 用 display stp 命令 去 查看 生成 树 的 


模式 及 根 交 换 机 的 位 置 。 
<S1>display stp 
-------[CIST Global Infol[Mode RSTP]------- 
CIST Bridge :32768.4clf-ce33-9812 
Config Times :Hello 2s MaxAge 20s FwDIy 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST RooVERPC :32768.4c1f-ce10-279a /2 


CIST RegRoot/IRPC :32768.4clf-cc33-9812/0 


<S2>display stp 

----- --[CIST Global Info][Mode RSTP]------- 

CIST Bridge :32768.4clf-ce4a-bea9 

Config Times :Hello 2s MaxAge 20s FEwDly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDIy 15s MaxHop 20 
CIST RooVERPC :32768.4clf-ce10-279a/ 1 


CIST RegRoot/IRPC :32768.4clf-cc4a-bea9/0 


<S3>display stp 
-------[CIST Global Info][Mode RSTP]------- 
CGIST Bridge :32768.4clf-cc32-b9d7 


Config Times :Hello 2s MaxAge 20s FwDIy 15s MaxHop 20 
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Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :32768.4clf-cc10-279a /1 
CIST RegRooUIRPC :32768.4clf-cc32-b9d7/0 


CE 


<S4>display stp 

-------[CIST Global Infol[Mode RSTP]------- 

CIST Bridge :32768.4c1f-cc10-279a 

Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :32768.4clf-cc10-279a70 


CIST RegRootIRPC :32768.4clf-cc10-279a/0 


上 述 信息 中 ，CIST Bridge 是 交换 机 自己 的 ID， 而 CIST Root 是 根 交换 机 的 ID。 根 
交换 机 是 交换 机 ID 最 小 的 交换 机 ， 所 以 ， 观 察 可 知 ，S4 是 当前 的 根 交 换 机 。 

在 RSTP 构建 的 树 形 拓 扑 中 ， 网 络 管理 员 需 要 设置 汇聚 层 主 交 换 机 S1 为 根 交 换 机 ， 
汇聚 层 交 换 机 S2 为 备份 根 交 换 机 。 


[S1]stp root primary 

[S2]stp root secondary 

配置 完成 后 ， 同 样 在 S1 上 使 用 display stp 命令 观察 。 
[Slldisplay stp 

-------[CIST Global Info][Mode RSTP]------- 

CIST Bridge :0 .4c1fcc33-9812 

Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 

Active Times :Hello 2s MaxAge 20s FwDIly 15s MaxHop 20 

CIST RootVERPC :0 .4clf-cc33-9812/0 


CIST RegRoot/IRPC :0 .4clf-cc33-9812/0 
CIST RootPortId :0.0 

BPDU-Protection :Disabled 

CIST Root Type ;Primary root 

TC or TCN received :33 


Wea 


可 以 观察 到 ，stp root primary 命令 修改 的 是 交换 机 ID 中 的 交换 机 优先 级 ， 把 默认 
的 优先 级 由 32768 改 为 0, 所 以 S1 的 交换 机 ID 变 为 最 小 , 是 Primary root， 即 根 交换 机 。 
在 S2 上 使 用 display stp 命令 观察 。 


[S2]display stp 

—-----[CIST Global Info][Mode RSTP]------- 

CIST Bridge :4096 .4clf-ce4a-bea9 

Config Times :Hello 2s MaxAge 20s FwDIly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDIy 15s MaxHop 20 
CIST Root/ERPC 0 .4c1fcc33-9812 /1 


CIST RegRoot/IRPC :4096 .4clf-cc4a-bea9 /0 
CIST RootPortId :128.1 

BPDU-Protection :Disabled 

CIST Root Type :Secondary root 

TC or TCN received :23 


Ws 


可 以 观察 到 ，stp root secondary 命令 修改 的 也 是 交换 机 ID 中 的 交换 机 优先 级 ， 把 
默认 的 优先 级 由 32768 改 为 4096， 使 82 的 桥 ID 变 为 次 小 ， 是 Secondary root， 即 次 根 
交换 机 。 
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在 S3 和 S4 上 使 用 display stp 命令 观察 。 


<S3>display stp 

~-----[CIST Global Info][Mode RSTP]------- 

CIST Bridge :32768.4clf-cec32-b9d7 

Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDIy 15s MaxHop 20 
CIST Root/ERPC :0 4clf-cc33-9812/ 1 


CIST RegRoot/IRPC :32768.4clf-cc32-b9d7/0 


[S4]display stp 

-------[CIST Global Info][Mode RSTP]-- 一 -- 

CIST Bridge :32768.4clf-ec10-279a 

Config Times :Hello 2s MaxAge 20s FwDIly 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :0 ,4clf-cc33-9812 /2 


CIST RegRoot/IRPC :32768.4clf-cc10-279a/0 


可 以 观察 到 ，S3 和 S4 交换 机 的 交换 机 优先 级 保持 默认 的 32768， 且 都 把 S1 当 作 根 
交换 机 。 
继续 使 用 display stp brief 命令 查看 每 台 交 换 机 上 的 端口 角色 及 状态 。 


<S1>display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 DESI FORWARDING NONE 
0 GigabitEthernet0/0/2 DESI FORWARDING NONE 
根 交 换 机 S1 上 无 根 端口 ， 所 有 端口 都 是 指定 端口 。 
<S2>display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 ROOT FORWARDING NONE 
0 GigabitEthernet0/0/2 DESI FORWARDING NONE 
交换 机 S2 上 的 GE 0/0/1 是 根 端口 。 
<S3>display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 DESI FORWARDING NONE 
0 Ethernet0/0/4 BACK DISCARDING NONE 
交换 机 S3 上 的 0/0/2 是 根 端口 ，E 0/0/3 是 指定 端口 ， 而 E 0/0/4 是 备份 端口 。 
<S4>display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 ALTIE DISCARDING NONE 


交换 机 S4 上 的 EE0/0/2 是 根 端口 ，E 0/0/3 是 蔡 代 端口 。 

通过 下 面 的 操作 ， 观 察 S2 上 端口 的 状态 变化 。 

目前 $2 的 GE 0/0/1 端口 是 根 端口 ， 其 他 所 有 端口 是 指定 端口 。 如 果 S2 的 根 端口 断 
掉 了 ，S2 会 选择 把 其 他 到 达 根 交换 机 的 端口 置 成 根 端口 。RSTP 协议 的 收敛 比较 快 ， 
端口 GE 0/0/2 会 快速 协商 成 为 新 的 根 端口 ， 协 商 期 间 端口 是 Discarding 状态 ， 协 商 结 
束 后 端口 为 Forwarding 状态 ， 这 个 过 程 所 需要 的 时 间 非 常 短 ， 这 就 是 RSTP 收敛 快 的 
二 
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模拟 根 端口 断 掉 的 过 程 ， 把 S2 的 GE 0/0/1 端口 使 用 shutdown 关闭 ， 同 时 ， 使 用 
display stp brief 命令 观察 S2 上 其 他 端口 的 角色 及 状态 的 变化 。 


[S2]interface GigabitEthernet0/0/1 

[S2-GigabitEthernet0/0/1]jshutdown 

Jun 26 2013 01:01:24-08:00 S2 %%01PHY/1/PHY(DI2]: GigabitEthernet0/0/1: chang 
e status to down 


[S2-GigabitEthernet0/0/1]display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/2 DESI DISCARDING NONE 


可 以 观察 到 ， 端 口 GE 0/0/2 的 角色 还 是 指定 端口 ， 但 状态 是 Discarding。 再 次 使 用 
display stp brief 命令 时 ， 就 会 观察 到 端口 的 角色 为 根 端口 ， 且 处 于 转发 状态 。 
[S2-GigabitEthernet0/0/1jdisplay stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/2 ROOT FORWARDING NONE 


观察 结束 之 后 ， 恢 复 端口 。 
[S2-GigabitEthernet0/0/1]undo shutdown 
Jun 26 2013 01:01:47-08:00 $2 %%01PHY/1/PHY()[4]: GigabitEthernet0/0/1: chang 


e statu 
[S2-GigabitEthernet0/0/1]display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 ROOT FORWARDING NONE 
0 GigabitEthernet0/0/2 DESI DISCARDING NONE 


可 以 观察 到 , 端口 GE 0/0/2 的 角色 是 指定 端口 , 状态 是 Discarding。 再 次 使 用 display 
stp brief 命令 时 ， 就 会 观察 到 GE 0/0/2 会 经 历 Discarding 状态 回 到 Forwarding 状态 。 
[S2-GigabitEthernet0/0/1]jdisplay stp brief 


MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 ROOT FORWARDING NONE 
0 GigabitEthernet0/0/2 DESI FORWARDING NONE 


当 拓 扑 发 生变 化 时 ，RSTP 使 用 P/A 机 制 和 根 端口 快速 切换 机 制 使 端口 状态 立即 从 
Discarding 进入 Forwarding 状态 ， 缩 短 了 收敛 的 时 间 ， 减 小 了 对 网 络 通信 的 影响 。 

3. 配置 边缘 端口 

生成 树 的 计算 主要 发 生 在 交换 机 互 连 的 链 路 之 上 ， 而 连接 PC 的 端口 没有 必要 参与 
生成 树 计算 ， 为 了 优化 网 络 ， 降 低 生 成 树 计 算 对 终端 设备 的 影响 ， 现 在 网 络 管理 员 把 交 
换 机 上 连接 PC 的 接口 配置 为 边缘 端口 。 

作为 对 比 ， 在 将 S4 上 的 EE 0/0/1 配置 为 边缘 端口 之 前 ， 先 把 端口 关闭 再 开启 ， 观 察 


端口 状态 的 变化 。 
[S4]display stp brief 
MSTID Port Role STP State Protection 

0 Ethemet0/0/1 DESI FORWARDING NONE 
0 Ethermet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 

[S4]interface Ethernet0/0/1 

[$4-Ethernet0/0/1]shutdown 


[S4-Ethernet0/0/1Jundo shutdown 
[S4-Ethernet0/0/1]display stp brief 


MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI DISCARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 


0 Ethernet0/0/3 ALTE DISCARDING NONE 


108 HCNA 网 络 技术 实验 指南 


可 以 观察 到 初始 状态 为 Discarding，15 秒 之 后 ， 接 口 将 进入 Learning 状态 。 


[S$4-Ethemet0/0/1]display stp brief 


MSTID Port Role STP State Protection 
0 Ethermet0/0/1 DESI LEARNING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 


保持 在 Learning 状态 15s 后 ， 接 口 最 终 进入 到 Forwarding 状态 。 


[S4-Ethernet0/0/1]display stp brief 


MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 


所 以 一 个 接口 如 果 参 与 生成 树 计 算 ， 要 经 过 Discarding 和 Learning 状态 ，30s 后 才 
最 终 进入 转发 状态 。 

配置 $4 上 连接 PC 的 端口 为 边缘 端口 ， 此 时 生成 树 计算 工作 依然 进行 ， 但 端口 进入 
转发 状态 无 需 等 待 30s。 


[S4]interface Ethernet0/0/1 
[S4-Ethernet0/0/1]stp edged-port enable 


在 S4 上 ， 做 同样 的 模拟 过 程 ， 关 闭 E 0/0/1 接口 ， 再 重新 开启 此 端口 ， 观 察 边缘 端 
口 E 0/0/1 的 状态 变化 。 
[S4-Ethernet0/0/1]shutdown 


[S4-Ethernet0/0/1jundo shutdown 
[S$4-Ethernet0/0/1]display stp brief 


MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 ALTE DISCARDING NONE 


可 以 观察 到 ， 接 口 立 刻 进入 到 Forwarding 状态 ， 没 有 30s 的 延迟 。 

在 使 用 RSTP 的 环境 中 ， 可 以 在 交换 机 上 把 连接 PC、 路 由 器 和 防火 墙 的 端口 都 配 
置 为 边缘 端口 ， 边 缘 端口 能 降低 终端 设备 访问 网 络 需 要 等 待 的 时 间 ， 明 显 提 高 网 络 的 
可 用 性 。 

4. 查看 备份 端口 状态 

网 络 管理 员 在 S3 与 S4 之 间 加 了 一 台 Hub 设备 ， 并 将 S3 的 E 0/0/4 通过 Hub 与 S4 
相连 。 

在 S3 上 使 用 display stp brief 命令 查看 生成 树 信息 。 


[S3]display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethemet0/0/3 DESI FORWARDING NONE 
0 Ethermnet0/0/4 BACK DISCARDING NONE 


可 以 观察 到 ，S3 的 E 0/0/3 接口 为 指定 端口 ， 而 同 交 换 机 上 的 E 0/0/4 为 备份 端 
口 ， 两 个 接口 接 到 同一 台 Hub 上 ， 当 E 0/0/3 接口 关闭 之 后 ，E 0/0/4 会 成 为 新 的 指定 
端口 。 

在 S3 上 关闭 EE0/0/3 接口 ， 通 过 display stp brief 命令 查看 备份 端口 的 状态 变化 。 


[S3]interface Ethernet0/0/3 
[S3-Ethernet0/0/3]shutdown 
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[S3-EthernetO/0/3]display stp brief 


MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/4 BACK DISCARDING NONE 


[S3-Ethernet0/0/3]display stp brief 


MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/4 DESI LEARNING NONE 


[S3-Ethernet0/0/3]display stp brief 


MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/4 DESI “FORWARDING NONE 


[S3-Ethernet0/0/3] 

可 以 观察 到 ，S3 上 的 指定 接口 断 掉 后 ，E 0/0/4 接口 角色 发 生变 化 ， 状 态 会 由 
Discarding、Learning 最 终 到 Forwarding 状态 ， 指 定 接口 现在 是 E 0/0/4， 指 定 交 换 机 还 
是 S3，S3 仍然 为 Hub 所 在 的 网 段 提 供 访 问 其 他 交换 机 的 数据 访问 路 径 。 

相似 的 过 程 ,在 S4 上 ,接口 E 0/0/2 是 根 端 口 , 接 口 E 0/0/3 是 替代 端口 ,Discarding 
状态 。 当 S4 的 根 端口 E 0/0/2 关闭 之 后 ， 接 口 E 0/0/3 会 立即 蔡 代 卫 0/0/2 成 为 新 的 根 


端口 。 
[S4]display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 ALIE DISCARDING NONE 


把 S4 上 的 根 端口 E 0/0/2 关闭 掉 ， 观 察 奉 代 端 口 E 0/0/3 的 状态 及 角色 的 变化 。 
[S4]interface ethernet0/0/2 

[S$4-Ethernet0/0/2]shutdown 

[S4-Ethernet0/0/2jdisplay stp brief 


MSTID Port Role STP State Protection 
0 Ethernet0/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/3 ROOT FORWARDING NONE 


RSTP 协议 收敛 很 快 ， 所 以 蔡 代 端口 立即 成 为 根 端口 。 

在 RSTP 中 ，Alternate 端口 和 Backup 端口 角色 所 对 应 的 最 终端 口 状态 都 是 
Discarding。 区 别 是 Alternate 端口 用 于 为 根 端口 做 备份 ， 而 Backup 端口 用 于 为 本 交换 机 
上 的 指定 端口 做 备份 ， 所 以 当 相 应 的 根 端口 或 指定 端口 断 掉 后 ， 备 份 端口 会 立即 承担 原 
有 的 根 端 口 或 指定 端口 的 角色 ， 开 始 转发 数据 。 

RSTP 协议 是 对 STP 的 升级 ， 它 重新 划 定 端口 的 角色 及 状态 ， 使 用 更 快速 的 握手 协 
商机 制 ， 降 低 了 收敛 时 间 ， 使 它 成 为 继 STP 协议 后 首选 的 生成 树 协 议 ， 不 足 之 处 就 是 在 
同一 网 络 内 的 交换 机 上 所 有 的 VLAN 共用 同样 的 拓扑 ， 此 时 可 以 使 用 MSTP 来 优化 。 


思考 
交换 机 的 EE 0/0/2 接口 关闭 之 后 , E 0/0/3 会 成 为 新 的 根 端口 ， 如果 此 时 33 交换 机 
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的 指定 端口 EE 0/0/3 也 关闭 掉 ，S4 交换 机 上 会 发 生 端 口角 色 或 状态 的 改变 吗 ? 如 果 边 缘 
端口 收 到 BPDU， 此 端口 还 是 边缘 端口 吗 ? 


4.4 ”MSTP 基础 配置 


原理 概述 


RSTP 在 STP 基础 上 进行 了 改进 ， 实 现 了 网 络 拓扑 快速 收敛 。 但 RSTP 和 STP 还 存 
在 同一 个 缺陷 ， 即 由 于 局 域 网 内 所 有 的 VLAN 共享 一 棵 生成 树 ， 链 路 被 阻塞 后 将 不 承载 
任何 流量 ， 造 成 带宽 浪费 ， 因 此 无 法 在 VLAN 间 实 现 数 据 流 量 的 负载 均衡 ， 还 有 可 能 i 
成 部 分 VLAN 的 报 文 无 法 转发 。 

通过 MSTP 把 一 个 交换 网 络 划 分 成 多 个 域 ， 每 个 域内 形成 多 棵 生成 树 ， 生 成 树 之 间 
彼此 独立 。 每 个 域 叫做 一 个 MST 域 (Multiple Spanning Tree Region，MST Region)， 每 
棵 生成 树 叫 做 一 个 多 生成 树 实例 MSTI (Multiple Spanning Tree Instance )。 

实例 内 可 以 包含 多 个 VLAN。 通 过 将 多 个 VLAN 映射 到 同一 个 实例 内 ， 可 以 节省 通 
信 开 销 和 资源 占用 率 。MSTP 各 个 实例 拓扑 的 生成 树 计算 相互 独立 ， 通 过 这 些 实例 可 以 
实现 负载 均衡 。 把 多 个 相同 拓扑 结构 的 VLAN 映射 到 一 个 实例 里 ， 这 些 VLAN 在 端口 
上 的 转发 状态 取决 于 端口 在 对 应 MSTP 实例 的 状态 。 

MSTP 通过 设置 VLAN 映射 表 ( 即 VLAN 和 MSTI 的 对 应 关系 表 )， 把 VLAN 和 
MSTI 联系 起 来 .每 个 VLAN 只 能 对 应 一 个 MSTI, 即 同一 VLAN 的 数据 只 能 在 一 个 MSTI 
中 传输 ， 而 一 个 MSTI 可 能 对 应 多 个 VLAN。 


实验 目的 


。 掌握 MSTP 的 基础 配置 

。 掌握 配置 MSTP 多 实例 的 方法 

。 掌握 配置 MSTP 实现 流量 分 担 的 方法 
e 理解 MSTP 与 STP、RSTP 的 区 别 


实验 内 容 


某 公司 二 层 网 络 由 三 台 交 换 机 S1、S2、S3 组 成 。 交 换 机 S1 与 $2 在 一 个 楼 层 ，S3 
在 另 一 楼 层 。PC-1 与 PC-2 属于 HR 部 门 ， 划 入 VLAN 10，PC-3 与 PC-4 属于 IT 部 门 ， 
划 入 VLAN 20。 当 使 用 普通 STP 时 ，STP 将 会 阻塞 一 条 链 路 来 防止 环 路 产生 ， 导 致 该 链 
路 闲置 。 为 了 保证 所 有 链 路 都 能 充分 利用 , 使 流量 能 够 分 担 , 网 络 管理 员 通 过 配置 MSTP 
来 实现 。 


实验 拓扑 
MSTP 基础 配置 拓扑 如 图 4-5 所 示 。 
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Ethernet 0/0/1 





图 4-5 ”MSTP 基础 配置 拓扑 


实验 编 址 


实验 编 址 见 表 4-6。 
表 4-6 实验 编 址 


| 接 D | PP 地址 ”| ”也 网 缔 码 
Ethernet 0/0/1 | 


Ethernet 0/0/1 192.168.10.1 255.255.255:.0 
Ethernet 0/0/1 192.168.10.2 255.255.255.0 


















PC-3 


Ethernet 0/0/1 192.168.20.1 255.255.255.0 






MAC 地 址 
本 实验 的 MAC 地 址 见 表 4-7。 
表 4-7 MAC 地 址 
设备 全 局 MAC 地 址 
Sl (S3700) 4clf-cc4d-0fcf 
S2 (S3700) 4clf-cc5e-3ea9 
S3 (S3700) 4clf-ccf8-067¢c 
实验 步骤 
1. 基础 配置 


根据 编 址 表 ， 在 各 台 PC 上 配置 IP 地址。 
在 交换 机 S1、S2、S3 上 创建 VLAN 10 与 VLAN 20， 并 将 连接 PC 的 端口 配置 成 为 
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Access 类 型 接口 , 划 入 相应 VLAN .交换 机 间 的 接口 配置 成 为 Trunk 接 口 , 允许 所 有 VLAN 
[Sllvlan batch 10 20 
[Sllinterface Ethernet0/0/3 
[S1-Ethernet0/0/3]port link-type access 
[S1-Ethernet0/0/3]port default vlan 10 
[S1-Ethernet0/0/3]interface Ethernet0/0/1 
[S1-Ethernet0/0/1]port link-type trunk 
[S1-Ethernet0/0/1]port trunk allow-pass vlan all 
[S1-Ethernet0/0/1]interftace Ethernet0/0/2 
[S1-Ethernet0/0/2]porttrunk allow-pass vlan all 


[S2]vlan batch 10 20 

[S2jinterface Ethernet0/0/3 
[S2-Ethernet0/0/3]port link-type access 
[S2-Ethernet0/0/3]port default vlan 20 
[S2-Ethernet0/0/3]interface Ethernet0/0/2 
[S2-Ethernet0/0/2]port link-type trunk 
[S2-Ethernet0/0/2]port trunk allow-pass vlan all 
[S2-Ethermet0/0/2]interface Ethernet0/0/1 
[S2-Ethernet0/0/1]port link-type trunk 
[$2-Ethernet0/0/11port trunk allow-pass vlan all 


[S3]vlan batch 10 20 

[S3]interface Ethernet0/0/3 

[$3-Ethernet0/0/31port link-type access 

[S3-Ethernet0/0/3]port default vlan 10 

[S3-Ethernet0/0/3]interface Ethernet0/0/4 

[S3-Ethernet0/0/4]port link-type access 

[S$3-Ethernet0/0/4]port default vlan 20 

[S3-Ethernet0/0/4]interface Eth0/0/1 

[S$3-Ethernet0/0/1]port link-type trunk 

[S3-Ethernet0/0/1 lport trunk allow-pass vlan all 

[S$3-Ethernet0/0/1linterface Ethernet0/0/2 

[S$3-Ethernet0/0/2]port link-type trunk 

[S$3-Ethernet0/0/2]port trunk allow-pass vlan al 

2， 理 解 MSTP 的 运行 机 制 及 验证 单 实例 

当 网 络 管理 员 按 照 设计 搭建 完 公司 二 层 网 络 后 ， 启 动 设备 。 在 华为 交换 机 上 默认 即 
运行 MSTP 协议 。 

在 S1 上 使 用 display stp 命令 查看 生成 树 的 状态 和 统计 信息 。 


<S1l>display stp 

-—---[CIST Global Info]l[Mode MSTP]-----— 

CIST Bridge :32768.4clf-cc4d-0fcf 

Config Times :Hello 2s MaxAge 20s FwDIy 15s MaxHop 20 
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 
CIST Root/ERPC :32768.4clf-ce4d-0fcf /0 


CIST RegRoot/IRPC :32768.4clf-cc4d-0fcf/0 
CIST RootPortId :0.0 

BPDU-Protection :Disabled 

TC orTCN received :5 
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TC count perhello :0 

STP Converge Mode :Normal 

Time since lastTC :0 days 0h:24m:48s 

Number of TC :6 

LastTC occurred :Ethernet0/0/1 

-一 -[Portl(Ethernet0/0/1)]IEORWARDING]---- 
Port Protocol :Enabled 


可 以 观察 到 , 在 CIST 全 局 信息 中 ， 显 示 目 前 STP 模式 为 MSTP， 根 交换 机 为 S1 自 
身 ， 另 外 还 有 交换 机 各 个 接口 上 的 STP 信息 。 
使 用 display stp brief 命令 查看 S1、S2、S3 上 生成 树 的 状态 和 统计 的 摘要 信息 。 





<Sl>display stp brief 
MSTID Port Role STP State Protection 
0 EthernetO/0/1 DESI FORWARDING NONE 
0 Ethernet0/0/2 DESI FORWARDING NONE 
0 Ethernet0/0/3 DESI FORWARDING NONE 
<S2>display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 : DESI FORWARDING NONE 
0 Ethernet0/0/2 ROOT FORWARDING NONE 
0 Ethernet0/0/3 DESI FORWARDING NONE 
<S3>display stp brief 
MSTID Port Role STP State Protection 
0 Ethernet0/0/1 ROOT FORWARDING NONE 
0 Ethernet0/0/2 ALTE DISCARDING NONE 
0 Ethernet0/0/3 DESI FORWARDING NONE 
0 Ethernet0/0/4 DESI FORWARDING NONE 


可 以 观察 到 ， 此 时 S1 上 的 端口 都 为 指定 端口 ， 且 都 处 于 转发 状态 ， 为 根 交 换 机 。 
S3 上 的 EE 0/0/2 为 替代 端口 ， 处 于 技 弃 状态 。MSTID， 即 MSTP 的 实例 ID， 三 台 交 换 机 
上 目前 都 为 0， 即 在 默认 情况 下 ， 所 有 VLAN 都 处 于 MSTP 实例 0 中。 

假如 网 络 管理 员 配置 STP 模式 为 RSTP， 最 终 选 举 出 来 的 根 交 换 机 及 被 阻塞 的 端口 
等 结果 将 和 目前 MSTP 的 选举 结果 一 致 ， 即 在 MSTP 的 单个 实例 中 ， 选 举 规则 与 RSTP 
一 致 ， 端 口角 色 和 状态 与 RSTP 也 一 致 。 

在 HR 部门 的 PC-2 上 持续 发 送 ping 包 至 PC-1, 在 IT 部 门 的 PC-4 上 持续 发 送 ping 
包 至 PC-3。 


PC>ping 192.168.10.1 -t 

Ping 192.168.10.1: 32 data bytes, Press Ctrl C to break 
From 192.168.10.1: bytes=32 sedq=] ttl=128 time=31 ms 
From 192.168.10.1: bytes=32 seq=2 ttl=128 time=47 ms 


PC>ping 192.168.20.1 -t 

Ping 192.168.20.1: 32 data bytes, Press Ctrl_C to break 
From 192.168.20.1; bytes=32 seq=1 ttl=128 time=47 ms 
From 192.168.20.1: bytes=32 seq=2 tt]=128 time=62 ms 


同时 ， 在 $3 的 E0/0/1 接口 上 抓 包 观 察 ， 如 图 4-6 所 示 。 
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| Frame 43: 78 bytes on wire (624 bits), 78 Pes captured (624 bits) 

再 EthermeY I1, Sre: HUaneiTe cfscS:Ae (54:89:98: Cf;c5:4e), Dst: HuaweiTe cf:40:0¢ (54:89:98:cf:40:0¢) 
|a 802,1Q Virtual LAN, PRI: 0, CFI: 0, ID: ee 

9 Internert protocol Version 4, Src: 192.168.10.2 (192.168.10.2), Dst: 192.168.10.1 (192.168.10.1) 
‘SIntermner, Control Wessage Protocol 





| 


4-6” 抓 包 观 察 


可 以 观察 到 ， 目 前 VLAN 10 和 VLAN 20 的 数据 包 都 从 S2 的 接口 E 0/0/1 转发 。 
在 S3 的 EE0/0/2 接口 上 抓 包 观 察 ， 如 图 4-7 所 示 。 


-tree-( 
Spanning-tree- (for-bridges STP 
Spanning-tree- (for-bridges STP 
er Ze:9cSpanning-tree- (for-bridges STP 
HuaweiTe_50:2e:9cSpanning-tree- (for-bridges STP 


- Root = 32768/0/4c; 
» Root = 32768/0/4c: 
， Roor = 32768/0/4c: 
» Root = 32768/0/4c: 





图 4-7 抓 包 观 察 


可 以 观察 到 ， 在 S3 的 E 0/0/2 接口 上 ， 没 有 任何 数据 包 转 发 ， 只 接收 到 上 行 接口 周 
期 发 送 的 BPDU。 

此 时 82 与 83 间 的 链 路 完全 处 于 闲置 状态 ， 造 成 了 资源 的 浪费 ， 也 导致 了 S1 与 S3 
间 链 路 上 数据 转发 任务 繁重 ， 易 引起 拥塞 于 包 。 为 了 能 够 有 效 地 利用 链 路 资源 ， 可 以 通 
过 配置 MSTP 的 多 实例 来 实现 。 

关闭 PC 上 的 ping 测试 。 

3. 配置 MSTP 多 实例 

MSTP 网 络 由 一 个 或 者 多 个 MST 域 组 成 ,每 个 MST 域 中 可 以 包含 一 个 或 多 个 MSTI， 
即 MST 实例 。MST 域 中 含有 一 张 VLAN 映射 表 , 描述 了 VLAN 与 MSTI 之 间 的 映射 关 
系 ， 默 认 情况 下 所 有 VLAN 都 映射 到 MSTI0 中 。MSTI 之 间 彼 此 独立 。 

在 S1 上 配置 MSTP 的 多 实例 。 使 用 stp region-configuration 命令 进入 MST 域 


视图 。 
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[S1]stp region-configuration 
[Sl-mst-region] 


使 用 region-name 命令 配置 MST 域名 为 huawei。 


[Sl-mst-regionl]region-name huawei 


使 用 revision-level 命令 配置 MSTP 的 修订 级 别 为 1。 


[Si1-mst-regionjrevision-level 1 


使 用 instance 命令 指定 VLAN 10 映射 到 MSTI 1， 指 定 VLAN 20 映射 到 MSTI 2。 


[Sl-mst-regionlinstance 1 vlan 10 
[S1-mst-regionjinstance 2 vlan 20 


使 用 active region-configuration 命令 激活 MST 域 配置 


[Sl-mst-regionlactive region-configuration 
Info: This operation may take a few seconds. Please wait for a moment...done. 


在 S2、S3 上 做 同样 配置 ,但 是 注意 ， 在 同一 MST 域 中 ， 必 须 具 有 相同 域名 、 修 订 
级 别 以 及 VLAN 到 MSTI 的 映射 关系 。 


[S2]stp region-configuration 
[S2-mst-regionlregion-name huawei 
[S$S2-mst-region|]revision-level 1 
[S2-mst-regionlinstance 1 vlan 10 
[S2-mst-region]instance 2 vlan 20 
[S2-mst-region]active region-configuration 


[S3]stp region-configuration 
[S$3-mst-regionlregion-name huawei 
[S3-mst-region]revision-level 1 
[S3-mst-region]instance 1 vlan 10 
[S$3-mst-regionlinstance 2 vlan 20 
[S3-mst-region]jactive region-configuration 


配置 完成 后 ， 在 S1、S2、S3 上 使 用 display stp region-configuration 命令 查看 交换 
机 上 当前 生效 的 MST 域 配 置信 息 。 


[Sl]display stp region-configuration 
Oper configuration 

Format selector :0 

Region name :huawei 

Revision level 并 

Instance VLANs Mapped 
0 1to9, 11 to 19, 21 to 4094 
1 10 
2 20 


[S2]display stp region-configuration 
Oper configuration 

Format selector :0 

Region name ‘huawei 

Revision level | 

Instance VLANs Mapped 
0 1 to9, 11 to 19, 21 to 4094 
1 10 
2 20 


[S31]display stp region-configuration 
Oper configuration 
Format selector :0 
Region name ‘huawei 
Revision level | 
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0 lto 9, 11 to 19, 21to 4094 
1 10 
20 


2 
可 以 观察 到 ， 所 有 交换 机 上 的 MST 域名 都 为 huawei， 修 订 版 本 号 都 为 1， 
VLAN 与 实例 间 的 映射 关系 相同 ， 其 中 除 VLAN 10 与 20 之 外 ， 其 余 VLAN 都 属于 
实例 0 中 。 
MSTP 多 实例 配置 完成 后 ， 在 HR 部 门 的 PC-2 上 持续 发 送 ping 包 至 PC-1 (使 用 ping 
192.168.10.1-t 命令 ), 在 开 部 门 的 PC-4 上 持续 发 送 ping 包 至 PC-3( 使 用 ping 192.168.20.1 -t 
命令 )。 同 时 ， 在 S3 的 EE0/0/1 接口 上 抓 包 观察 ， 如 图 4-8 所 示 。 


了 8 bytes captured 〔624 bits) 
本 7 Dst: HuaweiTe cf:d8:74 (54:89:98:cf:d8:74) 


10 Virtual LAN, PRI: 0; CFI: 0，ID: 20 
| Internet protocol Version 4, Src: 168:20.2 {192.168.20.2), Dst: 192.168.20.1 (192.168.20.1) 
Internet Control Message Protocol 





图 4-8 抓 包 现 象 


可 以 观察 到 ， 目 前 VLAN 10 和 VLAN 20 的 数据 包 仍 然 从 E 0/0/1 转发 。 
在 S3 的 E0/0/2 接口 上 抓 包 观 察 ， 如 图 4-9 所 示 。 


Dessnason Protocol Info 
te 10. Tyosuoot seve-so: Ze: ye panning-tree-lror-bridges SIy S1MST. ROot = 347bN/U/AC: IT:CC:AO:Or:Cr CoSt = 0 Vort = UxSUUI 
7 13.136000 HuaweiTe_50:2e:9cSpanning-tree-(for-bridges STP 151 MST. Root = 32768/0/4c:1f:cc:ad:Of:cf Cost = 0 Port = Ox8001 
8 15,351000 HuaweiTe_50:;2e:9¢cSpanning-tree-(for-bridges STP 151 MST. Root = 32768/0/4c:1f:cc:ad:Of:cf Cost = 0 Port = 0x8001 
9 17,566000HuaweiTe_ 50:2e:9cSpanning-tree-(for-bridges STP 151 MST, Root = 32758/0/4c:lf:cc:4d:Of:cf Cost = 0 Port = Ox8001 
10 19,781000 HuaweiTe.50:2e:9cSpanning-tree-(for-bridges STP 151 NST. Root = 32768/0/4c:1f:cc:4d:Of:cf Cost = 0 Port m Ox8001 
11 21,996000HuaweiTe_50:2e:9¢cSpanning-tree- (for-bridoes STP 151 NST. Root = 32768/0/4c:1f:cc:4d:Of:cf Cost = 0 Port = Ox8001 
12 24.212000 HuaweiTe_50:2e:9cSpanning-tree-(for-bridoes STP 151 MST, Root = 32768/0/4c:1lf:cc:4d:0f:cf Cost = 0 Port = Ox8001 
13 26.427000 HuameiTe_50:2e:9csSpanning-tree- (for-bridges STP 151 MST. Root = 32768/0/4c:lf:cci:4d:0Of:cf Cost = 0 Port = Ox8001 
14 28.642000HumweiTe_50:2e:9¢cSpanning-tree- (for-bridges STP 151 MST. Root = 32768/0/4c:lf:cc:4d:0f:cf Cost = 0 Port = Ox8001 
15 30.842000 HuaweiTe_50:2e:9cSpanning-tree- (for-bridges STP 151 MST. Roof = 32768/0/4c:Yf:ce:4d:Of:cf Cost = 0 Port = 0x8001 
16 33.057000 HuaweiTe_50:2e:9cSpanning-tree-(for-bridges STP 151 NST, Roort = 32768/0/4c:1f:cc:4d:Of:cF Cost = 0 Port = 0x8001 
17 35.225000 HuaweiTe_50:2e:9cSpanning-tree- (for-bridges STP 151 MST. Root = 32768/0/4cilif:cci4diof:cf Cost = 0 porr = 0x8001 


18 37.456000 HuaweiTe_50:2e:9c Spanning-tree- (for-bridges STP 151 MST. Roor = 32768/0/4c:lf:cc:4d;OF:cf Cost =» 0 Port = 0x8001 





4-9” 抓 包 现 象 


可 以 观察 到 ,在 E 0/0/2 接口 上 , 仍然 没有 任何 数据 包 转 发 ,只 有 接收 到 的 上 行 接口 
周期 发 送 的 BPDU。 

关闭 PC 上 的 ping 测试 。 

现在 已 经 配置 了 MSTP 多 实例 , 但 由 于 每 个 MSTP 实例 都 进行 独立 的 生成 树 计 
算 ， 所 以 在 默认 不 变动 任何 生成 树 参 数 的 情况 下 ， 其 实 每 棵 生成 树 的 选举 结果 是 一 
致 的 。 

在 S1、S2、S3 上 使 用 display stp instance 0 brief 命令 查看 默认 实例 0 中 的 生成 树 


状态 和 统计 的 摘要 信息 。 


<S1>display stp instance 0 brief 


MSTID Port 


0 
0 
0 


<S2>display stp instance 0 brief 


Ethernet0/0/1 


Ethernet0/0/2 


Ethernet0/0/3 


MSTID Port 


0 
0 
0 


<S3>display stp instance 0 brief 


Ethernet0/0/1 
Ethernet0/0/2 
Ethernet0/0/3 


MSTID Port 


0 
0 
; 


Ethernet0/0/1 
Ethermet0/0/2 
Ethernet0/0/3 


Ethernet0/0/4 
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Role STP State 

DESI FORWARDING 
DESI FORWARDING 
DESI FORWARDING 


Role STP State 

DESI FORWARDING 
ROOT FORWARDING 
DESI FORWARDING 


Role STP State 
ROOT FORWARDING 
ALIE DISCARDING 
DESI FORWARDING 
DESI FORWARDING 
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Protection 
NONE 
NONE 
NONE 


Protection 
NONE 
NONE 
NONE 


Protection 
NONE 
NONE 
NONE 
NONE 


在 1、 S2、S3 上 使 用 display stp instance 1 brief 命令 查看 实例 1 中 的 生成 树 状态 


和 统计 的 摘要 信息 。 


<S1>display stp instance 1 brief 
MSTID Port 
1 Ethernet0/0/1 
1 Ethernet0/0/2 
1 Ethernet0/0/3 


<S2>display stp instance 1 brief 
MSTID Port 
1 Ethernet0/0/1 
1 Ethernet0/0/2 


<S3>display stp instance 1 brief 
MSTID Port 
1 EthernetO/0/I 
1 Ethemet0/0/2 
1 Ethernet0/0/3 


Role STP State 

DESI FORWARDING 
DESI FORWARDING 
DESI FORWARDING 


Role STP State 
DESI FORWARDING 
ROOT FORWARDING 


Role STP State 
ROOT FORWARDING 
ALTE DISCARDING 
DESI FORWARDING 


Protection 
NONE 
NONE 
NONE 


Protection 
NONE 
NONE 


Protection 
NONE 
NONE 
NONE 


在 S1、S2、S3 上 使 用 display stp instance 2 brief 命令 查看 实例 2 中 的 生成 树 状态 


和 统计 的 摘要 信息 。 
<Sl>display stp instance 2 brief 
MSTID Port 
2 Ethemet0/0/1 
2 Ethemet0/0/2 


<S2>display stp instance 2 brief 
MSTID Port 
2 Ethemet0/0/1 
2 Ethemet0/0/2 
2 Ethemet0/0/3 


<S3>display stp instance 2 brief 
MSTID Port 
2 Ethernet0/0/1 
2 Ethemet0/0/2 


Role STP State 
DESI FORWARDING 
DESI FORWARDING 


Role STP State 

DESI FORWARDING 
ROOT FORWARDING 
DESI FORWARDING 


Role STP State 
ROOT FORWARDING 
ALTE DISCARDING 


Protection 


NONE 
NONE 


Protection 
NONE 
NONE 
NONE 


Protection 
NONE 
NONE 
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2 Ethernet0/0/4 DESI DISCARDING NONE 


可 以 观察 到 ， 在 以 上 3 个 实例 中 ， 选 举 结果 是 一 致 的 ， 都 是 S3 的 E 0/0/2 接口 处 于 
Discarding 状态 。 

现在 要 实现 $2 与 $3 间 的 链 路 被 利用 ， 可 以 在 实例 1 中 ,保持 目前 生成 树 选 举 结果 
不 变 ， 即 使 得 VLAN 10 中 的 HR 部 门 内 的 流量 通过 S1 与 S3 间 的 链 路 转发 。 在 实例 2 
中 ， 配 置 使 得 S2 成 为 根 交 换 机 ， 阻 塞 S1 与 S3 间 的 链 路 ， 即 使 得 VLAN 20 中 的 开 部 
门 的 流量 通过 S2 与 S3 间 的 链 路 转发 。 

在 S2 上 使 用 stp instance priority 命令 配置 其 成 为 实例 2 中 的 根 交 换 机 。 


~ [S2]stp instance 2 priority 0 
配置 完成 后 ， 在 S1、S2、S3 上 使 用 display stp instance 2 brief 命令 查看 实例 2 中 
的 生成 树 状 态 和 统计 的 摘要 信息 。 
<Sl>display stp instance 2 brief 
MSTID Port Role STP State Protection 
2 Ethernet0/0/1 ROOT FORWARDING NONE 
2 Ethermet0/0/2 DESI FORWARDING NONE 
<S2>display stp instance 2 brief 
MSTID Port Role STP State Protection 
2 Ethernet0/0/1 DESI FORWARDING NONE 
2 Ethermnet0/0/2 DESI FORWARDING NONE 
2 Ethermet0/0/3 DESI FORWARDING NONE 
<S3>display stp instance 2 brief 
MSTID Port Role STP State Protection 
2 Ethermet0/0/1 ALTE DISCARDING NONE 
2 _ Ethernet0/0/2 ROOT FORWARDING NONE 
2 Ethernet0/0/4 DESI FORWARDING NONE 


可 以 观察 到 ， 此 时 S2 成 为 了 实例 2 中 的 根 交 换 机 ， 所 有 端口 都 为 指定 端口 ， 而 S3 
的 EE0/0/1 接口 为 替代 端口 ， 即 S1 与 S3 间 的 链 路 现 已 阻塞 。 

在 HR 部 门 的 PC-2 上 持续 发 送 ping 包 至 PC-1 (使 用 ping 192.168.10.1 -t 命令 ), 在 
IT 部 门 的 PC-4 上 持续 发 送 ping 包 至 PC-3( 使 用 ping 192.168.20.1 -命令 )。 同 时 ， 在 
S3 的 EE0/0/1 接口 上 抓 包 观 察 ， 如 图 4-10 所 示 。 


Tor-bridoes 





jtes on wire (1208 Bits), 151 bytes caprured (1208 bt 





图 4-10” 抓 包 观 察 
可 以 观察 到 ， 目 前 VLAN 10 的 流量 都 从 S3 的 E0/0/1 接口 转发 。 
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在 S3 的 E 0/0/2 接口 上 抓 包 观察 ， 如 图 4-11 所 示 。 





10 3.510000 HuaweiTe_S0:2e:9c Spanning-tree-(for-bridges STP 








m AIL, Sre: HuaweiT 
B B02.19 Virtual LAN, PRI: 0, CFI: 0, ID: 
® Intermet Protocol Version 4, Src: 
EF Interret Control Message Protocol 


图 4-11 抓 包 观 察 


可 以 观察 到 ， 目 前 VLAN 20 的 流量 都 从 E 0/0/2 接口 转发 。 
至 此 ， 完 成 了 MSTP 的 多 实例 的 配置 ， 并 达到 了 流量 分 担 的 目的 ， 有 效 地 利用 了 网 
络 资源 ， 也 同时 使 得 S3 的 两 条 上 行 链 路 可 以 互相 备份 。 


思考 
当 MSTP 和 RSTP 混合 使 用 的 时 候 ， 如 何 选举 根 桥 ? 
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其 他 交换 技术 





5.1 GVRP 基 础 配置 
5.2 SmartLink 与 Monitor Link 
5.3 配置 Eth-Trunk 链 路 聚合 
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5.1 GVRP 基础 配置 


原理 概述 


GVRP (GARP VLAN Registration Protocol)， 中 文 名 为 GARP VLAN 注册 协议 ， 是 
GARP (Generic Attribute Registration Protocol， 通 用 属性 注册 协议 ) 的 一 种 应 用 ， 用 
于 注册 和 注销 VLAN 属性 。 使 得 交换 机 之 间 能 够 相互 交换 VLAN 配置 信息 ， 动 态 创 
建 和 管理 VLAN。 用 户 只 需要 对 少数 交换 机 进行 VLAN 配置 即 可 动态 地 传播 VLAN 
信息 。 

手工 配置 的 VLAN 称 为 静态 VLAN， 通 过 GVRP 协议 创建 的 VLAN 称 为 动态 
VLAN。GVRP 有 3 种 注册 模式 ， 不 同 的 模式 对 静态 VLAN 和 动态 VLAN 的 处 理 方式 
也 不 同 。 

加 Normal 模式 : 允许 该 接口 动态 注册 、 注 销 VLAN ,传播 动态 VLAN 以 及 静态 VLAN 
信息 ; 

加 Fixed 模式 : 禁止 该 接口 动态 注册 、 注 销 VLAN， 只 传播 静态 VLAN 信息 。 即 被 
设置 成 为 该 模式 下 的 Trunk 接口 , 即使 允许 所 有 VLAN 通过 , 实际 通过 的 VLAN 也 只 能 
是 手动 配置 的 那 部 分 ; 

国 Forbidden 模式 : 禁止 该 接口 动态 注册 、 注 销 VLAN， 不 传播 任何 除 VLAN 1 以 
外 的 任何 VLAN 信息 。 即 被 设置 成 为 该 模式 下 的 Trunk 接口 ,即使 允许 所 有 VLAN 通过 ， 
实际 通过 的 VLAN 也 只 能 是 VLAN 1。 


实验 目的 


。 理解 GVRP 的 应 用 场景 

。 掌握 GVRP 的 配置 

。 理解 GVRP 不 同 注册 模式 的 区 别 

。 掌握 GVRP 配置 不 同 注册 模式 的 方法 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。S1 和 S4 是 接 入 层 交 换 机 ,分别 连 接 到 汇聚 层 交 换 机 S2 
和 S3， 公 司 不 同 部 门 员工 通过 接 入 层 交 换 机 连接 到 网 络 。 现 在 需要 在 交换 机 上 划分 
VLAN 隔离 不 同 部 门 ， 但 考虑 到 部 门 较 多 ， 且 随 着 发 展 ， 网 络 情况 可 能 会 越 来 越 复杂 ， 
采用 手工 配置 VLAN 的 方式 工作 量 会 非常 大 ， 而 且 容 易 导 致 配置 错误 。 此 时 可 以 通过 
GVRP 的 VLAN 自动 注册 功能 完成 VLAN 的 配置 。 


实验 拓扑 
GVRP 基础 配置 的 拓扑 如 图 5-1 所 示 。 
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实验 编 址 


实验 编 址 见 表 5-1。 
表 S-1 实验 编 址 


一 六 DC | Pi 







实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 
的 连通 性 ， 在 没有 完成 划分 VLAN 之 前 各 PC 都 属于 默认 的 VLAN 1， 之 间 都 能 互通 。 
测试 PC-1 与 PC-2 间 的 连通 性 。 
PC>ping 10.1.1.2 
Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.2: bytes=32 seq=]1 ttl=128 time=16 ms 
From 10.1.1.2: bytes=32 seq=2 ttl=128 time=31 ms 
From 10.1.1.2: bytes=32 seq=3 ttl=128 time<] ms 
From 10.1.1.2: bytes=32 seq=4 ttl=128 time=15 ms 
From 10.1.1.2: bytes=32 seq=5 ttl=128 time=15 ms 
-一 10.1.1.2 ping statistics --= 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 0/15/31 ms 


其 余 主 机 间 的 连通 性 测试 省 略 。 
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2. 配置 GVRP 单 向 注册 

在 公司 的 二 层 网 络 中 ,有 IT 和 HR 两 个 不 同 的 部 门 ,需要 将 它们 划分 到 不 同 的 VLAN 
中 去 。 如 果 按 照常 规 配置 方法 ， 要 手工 在 所 有 交换 机 上 都 创建 相应 的 VLAN。 后 续 如 果 
有 新 的 部 门 需要 新 增 VLAN， 或 者 二 层 网 络 整 改 ， 都 要 随 之 修改 VLAN 配置 ， 配 置 量 非 
常 大 且 易 出 错 ， 现 网 络 管理 员 采 用 GVRP 来 完成 YLAN 配置 。 

将 4 台 交 换 机 之 间 所 互 连 的 接口 (连接 PC 的 接口 除外 ) 的 接口 类 型 都 配置 为 Trunk， 
并 允许 所 有 VLAN 通过 。 

[Sljinterface GigabitEthernet 0/0/1 


[Sl1-GigabitEthernet0/0/1]port link-type trunk 
[Sl1-GigabitEthernet0/0/1]port trunk allow-pass vlan all 


[S2]interface GigabitEthernet 0/0/1 
[S2-GigabitEthernet0/0/1]port link-type trunk 
[S2-GigabitEthernet0/0/11port trunk allow-pass vlan all 
[S2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[S2-GigabitEthernet0/0/2]port link-type trunk 
[S2-GigabitEthernet0/0/2]port trunk allow-pass vlan all 


[S3]interface GigabitEthernet 0/0/1 
[S3-GigabitEthernet0/0/1]port link-type trunk 
[S3-GigabitEthernet0/0/1]porttrunk allow-pass vlan all 
[S3-GigabitEthermet0/0/1]interface GigabitEthernet 0/0/2 
[$3-GigabitEthernet0/0/21port link-type trunk 
[$3-GigabitEthernet0/0/21port trunk allow-pass vlan all 


[S4]interface GigabitEthernet 0/0/1 
[S$4-GigabitEthernet0/0/11port link-type tunk 
[$4-GigabitEthernet0/0/11]port trunk allow-pass vlan all 


在 S1 上 创建 VLAN 10 和 VLAN 20， 并 把 连接 PC 的 接口 类 型 配置 为 Access， 划 入 
到 相应 的 VLAN 中 。 


[Sllvlan 10 

[Sl1-Vlanl0l]vlan 20 
[S1-Vlan20]interface Ethernet0/0/1 
[S1-Ethernet0/0/1]port link-type access 
[Sl1-Ethernet0/0/1]port default vlan 10 
[$1-Ethernet0/0/1]interface Ethernet0/0/2 
[$1-Ethernet0/0/2]port link-type access 
[Sl1-Ethernet0/0/2]port default vlan 20 


在 所 有 交换 机 上 都 开启 GVRP 功能 ， 并 在 所 有 交换 机 两 两 互 连 的 接口 下 也 开启 
GVRP 功能 。GVRP 注册 模式 默认 为 Normal 模式 。 
[Sl]gvrp 


[SI]interface GigabitEthernet 0/0/1 
[S1-GigabitEthernet0/0/1]evrp 


[S2]gvrp 

[S2]interface GigabitEthernet 0/0/1 
[S$2-GigabitEthernet0/0/1]gvrp 
[$2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[S2-GigabitEthernet0/0/2]gvrp 
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[S3]gvm 

[S3jinterface GigabitEthernet 0/0/1 
[S3-GigabitEthernet0/0/1]gvrp 
[S3-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[S3-GigabitEthernet0/0/2]gvrp 


[S4]gvmp 
[S4]interface GigabitEthernet 0/0/1 

[S4-GigabitEthernet0/0/1]gvrp 

配置 完成 后 ， 在 S2、S3、S4 上 使 用 display vlan 命令 查看 所 有 VLAN 的 相关 信息 。 
[S2]display vlan 


The total number of vlans is : 3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; #: Management-vlan; 


1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) 
GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) 
GE0/0/13(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) 
GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) 
GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 

10 dynamic TG:GE0/0/2(U) 

20 dynamic TG:GE0/0/2(U) 


VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 
[S3]display vlan 


The total number of vlans is : 3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *#: Management-vlan; 


1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) 
GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) 
GE0/0/13(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) 
GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) 
GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 

10 dynamic TG:GE0/0/1(U) 

20 dynamic TG:GE0/0/1(U) 


VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 ， 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


[S4]display vlan 
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The total number of vlans is : 3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; #: Management-vlan; 


1 common UT:Eth0/0/1(U) Eth0/0/2(U) Eth0/0/3(D) Eth0/0/4(D) 
Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D) 
Eth0/0/9(D) Eth0/0/10(D) Eth0/0/11(D) Eth0/0/12(D) 
Eth0/0/13(D) Eth0/0/14(D) Eth0/0/15(D) Eth0/0/16(D) 
Eth0/0/17(D) Eth0/0/18(D) Eth0/0/19(D) Eth0/0/20(D) 
Eth0/0/21(D) Eth0/0/22(D) GE0/0/1(U) GE0/0/2(D) 

10 dynamic TG:GE0/0/1(U) 

20 dynamic TG:GE0/0/1(U) 


VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


可 以 观察 到 ，S2、S3、S4 都 动态 获得 了 VLAN 10 和 VLAN 20。 但 是 在 S2 上 只 
GE 0/0/2 加 入 了 这 两 个 VLAN， 同 样 在 S3 上 只 有 GE 0/0/1 加 入 这 两 个 VLAN, 在 S4 上 
只 有 GE 0/0/1 加 入 了 这 两 个 VLAN。 这 是 因为 此 时 在 S2、S3、S4 上 只 有 左 侧 的 端口 收 
到 GVRP 的 注册 消息 ， 此 时 只 完成 了 单 辐 注册 。 

由 于 PC-1 与 PC-3 同属 于 IT 部 门 ， 即 VLAN 10 内 ， 现 验证 它们 之 间 的 连通 性 。 

PC>ping 10.1.1.3 

Ping 10.1.1.3: 32 data bytes, Press CtrlL_C to break 

From 10.1.1.1: Destination host unreachable 

From 10.1.1.1: Destination host unreachable 

From 10.1.1.1: Destination host unreachable 


From 10.1.1.1: Destination host unreachable 
From 10.1.1.1: Destination host unreachable 


发 现 无 法 通信 ， 再 次 验证 了 此 时 只 完成 了 单 向 注册 。 

3. 配置 GVRP 双向 注册 

现 需要 在 S4 上 也 手工 创建 VLAN 10 和 VLAN 20， 把 连接 PC 的 接口 的 模式 配置 为 
Access， 划 入 相应 VLAN 中 。 


<S4>system-view 

[S4]vlan 10 

[S4-VlanI0]vlan 20 
[S4-Vlan20]interface Ethernet0/0/1 
[S4-Ethernet0/0/1]port link-type access 
[S4-Ethernet0/0/1 lport default vlan 10 
[S4-Ethernet0/0/1]interface Ethernet0/0/2 
[S4-Ethernet0/0/2]port link-type access 
[S4-Ethernet0/0/2]port default vlan 20 
配置 完成 后 ， 在 S2、S3 上 再 次 使 用 display vlan 命令 查看 。 
[S2]display vlan 

Thetotal number of vlans is : 3 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


U: Up; D: Down; TG: Tagged; UT:; Untagged; 
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MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *; Management-vlan; 


1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) 
GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) 
GE0/0/13(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) 
GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) 
GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 


10 dynamic TG:GE0/0/1(U) GE0/0/2(U) 

20 dynamic TG:GE0/0/1(U) GE0/0/2(U) 

VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 
[S3]display vlan 


Thetotal number of vlans is :3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *; Management-vlan; 


1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) 
GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) 


GE0/0/13(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) 
GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) 
GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 


10 dynamic TG:GE0/0/1(U) GE0/0/2(U) 

20 dynamic TG:GE0/0/1(U) GE0/0/2(U) 

VID Status Property MAC-LRN Statistics Description 

1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


可 以 观察 到 此 时 两 台 汇 聚 交 换 机 的 右 侧 接口 也 加 入 了 VLAN 10 和 VLAN 20。 因 为 
从 右 侧 收 到 了 S4 的 GVRP 注册 消息 ， 此 时 完成 了 双向 注册 。 
在 PC-1 上 验证 与 PC-3 之 间 的 连通 性 。 
PC>ping 10.1.1.3 
Ping 10.1.1.3: 32 data bytes, Press Ctrl C to break 
From 10.1.1.3; bytes=32 seq=l ttl=128 time=78 ms 
From 10,1.1.3; bytes=32 seq=2 ttl=128 time=109 ms 
From 10.1.1.3: bytes=32 seq=3 ttl=]128 time=63 ms 
From 10.1.1.3; bytes=32 seq=4 tl=128 time=62 ms 
From 10.1.1.3: bytes=32 seq=5 ttl=128 time=31 ms 
-一 10.1.1.3 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 31/68/109 ms 


此 时 可 以 正常 通信 ，PC-2 与 PC-4 的 连通 性 测试 这 里 省 略 。 
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如 果 现 在 公司 网 络 整改 ， 需 要 添加 新 的 汇聚 交换 机 ， 或 者 替换 新 款 设备 ， 或 者 增删 
VLAN 配置 ， 都 可 以 通过 GVRP 动态 实现 自动 配置 ， 不 再 需要 手工 配置 。 

4. 配置 GVRP 的 Fixed 模式 

现在 S3 的 GE 0/0/1 接口 下 将 GVRP 的 注册 模式 修改 为 Fixed 模式 。 


[S3]interface GigabitEthernet 0/0/1 
[S3-GigabitEthernet0/0/1]gvrp registration fixed 


在 S3 上 使 用 display vlan 命令 查看 。 
[S3]display vlan 
The total number of vlans is :3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *; Management-vlan; 


1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) 
GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) 
GE0/0/13(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) 
GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) 
GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 

10 dynamic TG:GE0/0/2(U) 

20 dynamic TG:GE0/0/2(U) 


VID Status Property MAC-LRN Statistics Description 

1 enable default enable disable VLAN 0001 

enable default enable disable VLAN 0010 
enable default enable disable VLAN 0020 


发 现在 GE 0/0/1 接口 已 经 无 法 动态 学 习 到 VLAN 信息 , 这 是 由 于 Fixed 模式 下 不 允 
许 动态 VLAN 在 接口 上 注册 ， 相 应 同 部 门 内 跨 交 换 机 的 两 台 PC 就 无 法 通信 。 

这 时 的 解决 办 法 有 两 种 ,一 种 是 在 S3 上 手工 创建 VLAN 10 和 VLAN 20， 另 一 种 是 
恢复 GE 0/0/1 接口 下 GVRP 注册 模式 为 Normal 模式 ， 做 相应 配置 即 可 。 

5， 配 置 GVRP 的 Forbidden 模式 

在 S2 的 GE 0/0/1 接口 下 将 GVRP 的 注册 模式 修改 为 Forbidden 模式 。 


[S2]interface GigabitEthernet 0/0/1 
[S$2-GigabitEthernet0/0/11gvrp registration forbidden 


在 S2 上 使 用 display vlan 命令 查看 。 
[S2]display vlan 
The total number of vlans js ; 3 


U: Up; D: Down; TG: Tagged; ， UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *; Management-vlan; 


1 common UT:GE0/0/1(U) GE0/0/2(U) . GE0/0/3(D) GE0/0/4(D) 
GE0/0/5(D) GE0/0/6(D) GE0/0/7D) GE0/0/8(D) 
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GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) 
GE0/0/13(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) 
GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) 
GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 
10 common TG:GE0/02(U) 
20 common TG:GE0/0/2(U) 


VID Status Property MAC-LRN Statistics Description 

| enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


可 以 观察 到 此 时 VLAN 10、VLAN 20 中 都 没有 GE 0/0/1 接口 加 入 。 
在 S2 上 手工 创建 VLAN 10 和 VLAN 20， 并 使 用 display vlan 命令 查看 。 


[S2]vlan batch 10 20 


[S2]display vlan 
The total number of vlans is :3 


U: Up; D: Down; TG: Tagged; UT: Untagged; 
MP: Vlan-mapping; ST: Vlan-stacking; 
#: ProtocolTransparent-vlan; *; Management-vlan; 


1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(D) GE0/0/4(D) 
GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) 
GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) 
GE0/0/13(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) 
GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) 
GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 

10 common TG:GE0/0/2(U) 

20 common TG:GE0/0/2(U) 


VID Status Property MAC-LRN Statistics Description 
1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 


结果 还 是 一 样 ， 接 口 GE 0/0/1 仍然 没有 加 入 到 VLAN 10 或 VLAN 20 中 。 这 是 因为 
GE 0/0/1 接口 下 注册 模式 配置 成 了 Forbidden 模式 后 ， 将 只 允许 VLAN 1 通过 。 


思考 
GVRP 能 够 应 用 在 Hybrid 类 型 的 接口 上 吗 ? 


5.2 Smart Link 与 Monitor Link 


原理 概述 


在 以 太 网 络 中 ， 为 了 提高 网 络 的 可 靠 性 ， 通 常 采用 双 归 属 上 行 方式 进行 组 网 ， 即 一 台 
交换 机 同时 连接 两 台 上 行 交 换 机 ， 但 是 在 二 层 网 络 中 可 能 会 带 来 环 路 问题 。 为 了 解决 环 路 
问题 ， 可 以 采用 STP 技术 ,但 STP 的 收敛 时 间 较 长 ， 当 主 用 链 路 故障 时 ， 将 流量 切换 到 
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备用 链 路 ， 只 能 是 达到 秒 级 的 收敛 速度 ， 不 适用 于 对 收敛 时 间 有 很 高 要 求 的 组 网 环境 。 

基于 上 述 原 因 ， 华 为 公司 针对 双 归 属 上 行 组 网 提出 了 Smart Link 解决 方案 。 网 络 中 
两 条 上 行 链 路 在 正常 情况 下 ， 只 有 一 条 处 于 连通 状态 ， 而 另 一 条 处 于 阻塞 状态 ， 从 而 防 
止 了 环 路 引起 的 广播 风暴 。 当 主 用 链 路 发 生 故障 后 ， 流 量 会 在 毫秒 级 的 时 间 内 迅速 切换 
到 备用 链 路 上 ， 保 证 了 数据 的 正常 转发 。 默 认 情况 下 ， 当 原 主 用 链 路 故障 恢复 时 ， 将 维 
持 在 阻塞 状态 ， 不 进行 抢占 ， 从 而 保持 网 络 稳定 ， 可 以 手工 配置 回 切 功 能 使 流量 切换 回 
原 主 用 链 路 。Smart Link 配置 简单 ， 便 于 操作 和 维护 。 

Smart Link 虽然 能 够 保证 设备 在 本 设备 上 行 链 路 发 生 故 障 后 快速 进行 倒 换 ， 但 对 于 
跨 设备 的 链 路 故障 不 能 提供 有 效 保护 ,为 此 可 以 采用 Monitor Link。Monitor Link 用 于 扩 
展 Smart Link 的 链 路 备份 的 范围 ， 通 过 监控 上 游 设 备 的 上 行 链 路 ， 达 到 上 行 链 路 故障 迅 
速 传达 给 下 游 设 备 ， 从 而 触发 Smart Link 的 主 备 链 路 切换 ， 防 正 长 时 间 因 上 行 链 路 故障 
而 出 现 网 络 中 断 ， 使 Smart Link 备份 作用 更 为 完善 。 


实验 目的 


e 理解 Smart Link 的 应 用 场景 

e 掌握 Smart Link 组 的 基本 配置 

。 掌握 Smart Link 回 切 功能 的 配置 
e 掌握 Monitor Link 的 基本 配置 


实验 内 容 


本 实验 模拟 公司 网 络 场景 。 交 换 机 S4 作为 公司 出 口 设备 连接 外 网 ， 交 换 机 S1 是 接 
入 层 交 换 机 , 负责 员工 终端 接 入 , 接 入 交换 机 通过 两 台 交 换 机 S2 和 S3 双 上 行 连接 到 S4。 
针对 此 双 上 行 组 网 ， 为 了 实现 主 备 链 路 宛 余 备份 及 故障 后 的 快速 迁移 ， 部 署 使 用 Smart 
Link 技术 ， 且 为 了 进一步 扩展 Smart Link 的 备份 范围 ， 使 用 Monitor Link 联动 方式 监控 
上 游 设 备 的 上 行 链 路 来 完善 Smart Link。 


实验 拓扑 
Smart Link 与 Monitor Link 拓扑 如 图 5-2 所 示 。 


S4 





BD 
GE 0/0/1 ~、 GE'O/0/2 
GE 0/0/! Pe 


pe yy 
S2 三 | ss 


Ethernet 0/0/3 Ethernet 0/0/4 





Ethernet 0/0/3 Ethernet 0/0/4 


Sl 
图 5-2 ”Smart Link 与 Monitor Link 拓扑 
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实验 步骤 


1. 配置 Smart Link 

公司 接 入 层 交 换 机 S1 通过 S2 和 S3 双 上 行 链 路 连接 到 出 口交 换 机 S4， 为 了 实现 主 
备 链 路 元 余 备 份 及 快速 迁移 ， 需 要 在 S1 上 配置 Smart Link。 

在 Sl 上 创建 Smart Link 组 1， 并 开启 Smart Link 组 功能 。 


[Sllsmart-link group 1 
[S1-smlk-groupl]smart-link enable 


配置 Smart Link 时 ， 需 要 在 相关 运行 Smart Link 的 接口 下 关闭 生成 树 协议 。 由 于 华 
为 交换 机 默认 开启 了 生成 树 协 议 , 因此 需要 关闭 S1 交换 机 上 了 0/0/3 和 E0/0/4 接口 下 的 
生成 树 协议 。 

[Sllinterface Ethernet 0/0/3 

[S1-Ethernet0/0/3]stp disable 


[Sl1-Ethernet0/0/3]interface Ethernet 0/0/4 
[S1-Ethernet0/0/4]stp disable 


注意 ， 如 果 相 应 接口 下 生成 树 协议 未 关闭 ， 在 配置 Smart Link 组 功能 时 会 报错 ， 将 
会 出 现下 面 的 提示 信息 。 


Error: Adding a port failed. The port is already enabled with STP 
进入 到 Smart Link 组 1 下 ， 配 置 E 0/0/3 为 主 接口 ，E 0/0/4 为 备份 接口 。 
[Sl]smart-link group 1 
[Sl-smlk-groupl]port Ethernet 0/0/3 master 
[Sl-smlk-groupl lport Ethernet 0/0/4 slave 
配置 完成 后 ， 使 用 display smart-link group 1 命令 查看 主 备 状态 。 
[Sll]display smart-link group 1 
Smart Link group 1 information : 
Smart Link group was enabled 
There is no Load-Balance 
There is no protected-vlan reference-instance 
DeviceID: 4clf-cc83-109¢ 


Member Role State Flush Count Last-Flush-Time 
Ethernet0/0/3 Master Active 0 0000/00/00 00:00:00 UTC+00:00 
Ethernet0/0/4 Slave Inactive 0 0000/00/00 00:00:00 UTC+00:0 


可 以 观察 到 ，S1 交换 机 的 卫 0/0/3 为 主 接口 ， 且 状态 为 Active; E 0/0/4 为 备份 接口 ， 
状态 为 Inactive。 

2. 配置 回 切 功能 

当 S1 上 主 接口 EE 0/0/3 出 现 故障 关闭 时 ， 备 份 接口 会 立刻 切换 为 Active 状态 。 并 且 
默认 情况 下 ， 当 原 主 接口 恢复 时 ， 主 接口 不 会 自动 回 切 到 Active 状态 ， 需 要 手工 配置 回 
切 功能 。 

将 S2 交换 机 E 0/0/3 接口 关闭 ， 模 拟 故障 发 生 ， 在 S1 上 观察 Smart Link 组 1 的 主 
备 状态 。 


[S2]interface Ethernet 0/0/3 
[$2-Ethernet0/0/3]shutdown 


[Sl]display smart-link group 1 
Smart Link group 1 information : 
Smart Link group was enabled 


132 HCNA 网 络 技术 实验 指南 


There is no Load-Balance 
There is no protected-vlan reference-instance 
DeviceID: 4clf-cc83-109¢ 


Member Role State Flush Count Last-Flush-Time 
Ethernet0/0/3 Master Inactive : 0000/00/00 00:00:00 UTC+00:00 
Ethernet0/0/4 Slave Active 0000/00/00 00;00:00 UTC+00:00 


可 以 观察 到 ，S1 交换 机 E 0/0/3 仍然 为 主 接口 但 是 状态 处 于 Inactive， 而 E 0/0/4 状 


态 此 时 为 Active。 


重新 开启 S2 的 E 0/0/3 接口 ， 再 次 在 S1 上 观察 Smart Link 组 1 的 主 备 状态 。 


[S2]interface Ethernet 0/0/3 
[S2-Ethernet0/0/3]undo shutdown 


[S1-Ethermnet0/0/3]display smart-link group 1 
Smart Link group 1 information : 
Smart Link group was enabled 
There is no Load-Balance 
There is no protected-vlan reference-instance 
DeviceID: 4clf-cc83-109c 


Member Role State Flush Count Last-Flush-Time 
Ethernet0/0/3 Master Inactive 0 0000/00/00 00:00:00 UTC+00:00 
Ethernet0/0/4 Slave Active 0000/00/00 00:00:00 UTC+00:00 


可 以 观察 到 ， 接 口 的 状态 没有 发 生变 化 E 0/0/3 接口 仍然 处 于 Inactive 状态 ， 并 没 


有 抢占 原来 的 Active 状态 。 即 当主 链 路 出 现 故障 后 ， 会 自动 切换 到 备份 链 路 ， 而 当 原 主 
链 路 故障 恢复 后 ， 为 了 保持 网 络 稳定 ， 它 将 维持 在 阻塞 状态 ， 不 进行 抢占 。 如 果 需 要 原 
主 链 路 恢复 为 Active 状态 ， 可 以 通过 配置 Smart Link 组 回 切 功能 ， 在 回 切 定时 器 超时 后 
会 自动 切换 到 主 链 路 。 


在 S1 上 使 用 restore enable 命令 开启 回 切 功能 ， 并 将 回 切 时 间 设 置 为 30s (默认 为 


60s)。 


[Sl]smart-link group 1 
[Sl-smlk-groupl lrestore enable 
[Sl-smlk-groupl ltimer wtr 30 
等 待 30s 后 S1 上 会 弹出 如 下 信息 ， 即 已 经 产生 了 状态 的 切换 。 
Jun 26 2013 18:53:09-08:00 S1 %%01SMLK/4/SMLK_ STATUS LOG(D[S]:The state of Smart link group 1 changed to MASTER. 
查看 Smart Link 组 1 的 主 备 状态 。 
[Sl]display smart-link group 1 
Smart Link group 1 information : 
Smart Link group was enabled 
Witr-time is: 30 sec. 
There is no Load-Balance 
There is no protected-vlan reference-instance 
DeviceID: 4clf-ce83-109¢ 


Member Role State Flush Count Last-Flush-Time 
Ethernet0/0/3 Master Active 0000/00/00 00:00:00 UTC+00:00 
Ethernet0/0/4 Slave Inactive 0000/00/00 00:00:00 UTC+00:00 


可 以 观察 到 ，S1 的 E 0/0/3 接口 状态 又 重新 恢复 到 Active 状态 ， 而 E 0/0/4 接口 回 到 


了 Inactive 状态 。 


3. 配置 Monitor Link 
Monitor Link 是 对 Smart Link 进行 补充 而 引入 的 接口 联动 方案 ,用 于 扩展 Smart Link 
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的 链 路 备份 的 范围 。 通 过 监控 上 游 设备 的 上 行 链 路 ， 而 对 下 行 链 路 进行 同步 设置 ， 达 到 
上 游 设备 的 上 行 链 路 故障 迅速 传达 给 下 行 设 备 ， 从 而 触发 下 游 设 备 的 Smart Link 的 主 备 
链 路 切换 ， 防 止 长 时 间 因 上 行 链 路 故障 而 出 现 网 络 故 障 。 

正常 情况 下 ，S1 与 S2 之 间 的 链 路 为 主 链 路 ， 但 是 当 S2 的 上 行 接口 GE 0/0/1 故障 
时 ， Smart Link 无 法 感知 故障 ， 不 会 发 生 切 换 ， 导 致 网 络 中 断 。 为 了 解决 这 一 问题 ， 需 
要 在 S2 上 配置 Monitor Link 监控 上 行 接口 ， 当 GE 0/0/1 故障 时 , 使 Sl 的 Smart Link 组 
切换 。 

为 了 模拟 该 场景 ， 现 将 $2 的 GE 0/0/1 接口 关闭 ， 并 查看 Smart Link 组 1 的 主 备 状态 。 


[S21]interface GigabitEthernet 0/0/1 
[S2-GigabitEthernet0/0/1]shutdown 


[Sl]display smart-link group 1 
Smart Link group 1 information ; 
Smart Link group was enabled 
Witr-time is: 30 sec., 
There is no Load-Balance 
There is no protected-vlan reference-instance 
DeviceID: 4clfcc83-109c 


Member Role State Flush Count Last-Flush-Time 
Ethernet0/0/3 Master Active 0 0000/00/00 00:00:00 UTC+00:00 
Ethernet0/0/4 Slave Inactive 0 0000/00/00 00:00:00 UTC+00:00 


可 以 观察 到 ， 当 $2 的 上 行 GE 0/0/1 接口 出 现 故 障 以 后 ， 连 接 到 下 行 链 路 的 S1 交换 
机 无 法 感知 到 该 故障 ， 导 致 S1 交换 机 的 Smart Link 无 法 进行 切换 ， 这 样 会 导致 连接 到 
S1 交换 机 仍然 选择 E 0/0/3 接口 转发 数据 ， 无 法 正常 通信 。 

在 S2 上 启用 Monitor Link 组 1， 配 置 上 行 接口 为 GE 0/0/1， 下 行 接口 为 E 0/0/3。 

[S2jmonitor-link group 1 


[S2-mtlk-groupljport GigabitEthernet 0/0/1 uplink 
[$2-mtlk-group] lport Ethernet 0/0/3 downlink 
配置 完成 后 ， 再 次 查看 S1 的 Smart Link 组 1 的 主 备 状态 。 
[Sildisplay smart-link group 1 
Smart Link group 1 information : 
Smart Link group was enabled 
Witr-time is: 30 sec. 
There is no Load-Balance 
There is no protected-vlan reference-instance 
DevicelID: 4clfcc83-109c 


Member Role State Flush Count Last-Flush-Time 
Ethernet0/0/3 Master Inactive 0 0000/00/00 00:00:00 UTC-+00:00 
Ethemet0/0/4 Slave Active 0 0000/00/00 00:00:00 UTC+00:00 


观察 发 现 E 0/0/3 接口 状态 已 经 变 为 Inactive，E 0/0/4 接口 状态 成 为 了 Active， 流量 
已 经 被 切换 到 E 0/0/4 接口 ， 保 证 了 用 户 流量 的 正常 转发 。 

修改 Monitor Link 组 的 回 切 时 间 为 10 秒 〈 默 认为 3s)。 当 S2 的 上 行 接口 GE 0/0/1 
重新 恢复 以 后 ， 下 行 链 路 Smart Link 组 将 在 时 间 到 期 后 ， 重 新 回 切 到 主 链 路 。 


[$2-mtlk-group!] Jtimer recover-time 10 
重新 开启 S2 的 GE 0/0/1 接口 。 
[S2jinterface GigabitEthernet 0/0/1 
[$2-GigabitEthernet0/0/1lundo shutdown 
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等 待 40s 左右 (加 上 步骤 2 中 配置 的 Smart Link 回 切 时 间 )， 查 看 S1 的 Smart Link 
组 1 的 主 备 状态 。 


[Sl]display smart-link group 1 
Smart Link group 1 information : 
Smart Link group Was enabled 
Witr-time is: 30 sec， 
There is no Load-Balance 
There is no protected-vlan reference-instance 
DevicelD: 4clf-cc83-109c 


Member Role State Flush Count Last-Flush-Time 
Ethernet0/0/3 Master Active 0 0000/00/00 00:00:00 UTC+00:00 
Ethernet0/0/4 Slave Inactive 0 0000/00/00 00:00:00 UTC+00:00 


可 以 观察 到 ， 此 时 S1 的 E 0/0/3 接口 重新 恢复 到 了 Active 状态 。 
思考 


Smart Link 和 Monitor Link 的 联合 使 用 可 以 确保 链 路 出 现 故 障 后 及 时 地 切换 ， 如 果 
所 有 链 路 都 正常 ， 是 否 所 有 数据 都 只 能 通过 主 链 路 转发 ? 


5.3 配置 Eth-Trunk 链 路 聚合 


原理 概述 


在 没有 使 用 Eth-Trunk 前 ， 百 兆 以 太 网 的 双 绞 线 在 两 个 互 连 的 网 络 设备 间 的 带宽 仅 
为 100Mbitys。 若 想 达 到 更 高 的 数据 传输 速率 ， 则 需要 更 换 传 输 媒 介 ， 使 用 千 兆 光纤 或 升 
级 成 为 干 兆 以 太 网 。 这 样 的 解决 方案 成 本 较 高 。 如 果 采 用 Eth-Trunk 技术 把 多 个 接口 捆 
绑 在 一 起 ， 则 可 以 以 较 低 的 成 本 满足 提高 接口 带宽 的 需求 。 例 如 ， 把 3 个 100Mbit/s 的 
全 双 工 接口 捆绑 在 一 起 ， 就 可 以 达到 300Mbit/s 的 最 大 带宽 。 

Eth-Trunk 是 一 种 捆绑 技术 ， 它 将 多 个 物理 接口 捆绑 成 一 个 逻辑 接口 ， 这 个 逻辑 接口 
就 称 为 Eth-Trunk 接口 ， 捆 绑 在 一 起 的 每 个 物理 接口 称 为 成 员 接 口 。Eth-Trunk 只 能 由 以 
太 网 链 路 构成 。Trunk 的 优势 在 于 : 

国 负载 分 担 ， 在 一 个 Eth-Trunk 接口 内 ， 可 以 实现 流量 负载 分 担 ; 

国 提高 可 靠 性 ， 当 某 个 成 员 接 口 连接 的 物理 链 路 出 现 故 障 时 , 流量 会 切换 到 其 他 可 
用 的 链 路 上 ， 从 而 提高 整个 Trunk 链 路 的 可 靠 性 ; 

国 增加 带宽 ，Trunk 接口 的 总 带宽 是 各 成 员 接口 带宽 之 和 。 

Eth-Trunk 在 逻辑 上 把 多 条 物理 链 路 捆绑 等 同 于 一 条 逻辑 链 路 ， 对 上 层 数据 透明 传 
输 。 所 有 Eth-Trunk 中 物理 接口 的 参数 必须 一 致 ，Eth-Trunk 链 路 两 端 要 求 一 致 的 物理 参 
数 有 : Eth-Trunk 链 路 两 端 相连 的 物理 接口 类 型 、 物 理 接 口 数量 、 物 理 接口 的 速率 、 物 理 
接口 的 双 工 方式 以 及 物理 接口 的 流 控 方 式 。 


实验 目的 
e 理解 使 用 Eth-Trunk 的 应 用 场景 
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。 掌握 配置 Eth-Trunk 链 路 聚合 的 方法 (手工 负载 分 担 模式 ) 
。 掌握 配置 Eth-Trunk 链 路 聚合 的 方法 〈 静 态 LACP 模式 ) 
实验 内 容 


本 实验 模拟 企业 网 络 环境 。S1 和 S2 为 企业 核心 交换 机 ，PC-1 属于 A 部 门 终端 
设备 ，PC-2 属于 B 部 门 终端 设备 。 根 据 企 业 规划 ，S1 和 S2 之 间 线 路 原由 一 条 光纤 
线路 相连 ， 但 出 于 带宽 和 宛 余 角度 考虑 需要 对 其 进行 升级 ， 可 使 用 Eth-Trunk 实现 此 


实验 拓扑 
配置 Eth-Trunk 链 路 聚合 的 拓扑 如 图 5-3 所 示 。 
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5-3 配置 Eth-Trunk 链 路 聚合 拓扑 





实验 编 址 
实验 编 址 见 表 5-2。 
表 5-2 实验 编 址 
子 网 撞 码 
| Ethemet0/0/1 | . 100.11 | 255.255.255.0 
MAC 地 址 
本 实验 的 MAC 地 址 见 表 5-3。 
表 5-3 MAC 地 址 
设备 全 局 MAC 地 址 
S1 (S5700) 4clf-cc55-b90f 


S2 (S5700) 4c1f-cc71-68d4 
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实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 PC 之 间 的 连通 性 。 


PC>ping 10.0.1.2 

Ping 10.0.1.,2: 32 data bytes, Press Ctrl C to break 
From 10.0.1.2: bytes=32 seq=1 ttl=128 time=16 ms 
Erom 10.0.1.2: bytes=32 seq=2 ttl=128 time=16 ms 
From 10.0.1.2: bytes=32 seq=3 ttl=128 time<l ms 
From 10.0.1.2: bytes=32 seq=4 ttl=128 time=16 ms 
From 10.0.1.2: bytes=32 seq=5 ttl=128 time=46 ms 
-- 10.0.1.2 ping statistics --- 


5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 0/18/46 ms 
其 余 PC 的 连通 性 测试 省 略 。 


由 于 本 实验 场景 需要 ， 首 先 要 将 S1 与 S2 上 互 连 的 GE 0/0/2 和 GE 0/0/5 接口 关闭 。 
[Silinterface GigabitEthernet 0/0/2 

[S$1-GigabitEthernet0/0/21shutdown 

[S$1-GigabitEthernet0/0/2|]interface GigabitEthernet 0/0/3 

[S1-GigabitEthernet0/0/5]shutdown 


[S2]interface GigabitEthernet 0/0/2 
[S2-GigabitEthernet0/0/2]shutdown 
[S2-GigabitEthernet0/0/2|interface GigabitEthernet 0/0/5 
[S2-GigabitEthernet0/0/5]shutdown 


2.， 未 配置 Eth-Trunk 时 的 现象 验证 

在 原 有 的 网 络 环 境 中 ， 公 司 在 两 台 核 心 交 换 机 间 只 部 署 了 一 条 链 路 。 但 随 着 业务 增 
长 ， 数 据 量 的 增 大 ， 带 宽 出 现 了 瓶颈 ， 已 经 无 法 满足 公司 的 业务 需求 ， 也 无 法 实现 元 余 
备份 。 考 虑 到 以 上 问题 ， 公 司 网 络 管理 员 决定 通过 增加 链 路 的 方式 来 提升 带宽 。 原 链 路 
只 有 一 条 , 带宽 为 1Gbit/s, 在 原 有 的 网 络 基础 上 再 增加 一 条 链 路 , 将 带宽 增加 到 2Gbit/s。 

模拟 链 路 增加 ， 开 启 S1 和 S2 上 的 GE 0/0/2 接口 。 


[Sllinterface GigabitEthernet 0/0/2 
[Sl-GigabitEthernet0/0/2]undo shutdown 


[S2]interface GigabitEthernet 0/0/2 
[S$2-GigabitEthemet0/0/2]Jundo shutdown 


增加 链 路 后 ， 网 络 管理 员 考 虑 到 ， 在 该 组 网 拓扑 下 ， 默 认 开 启 的 STP 协议 一 定 会 将 
其 中 一 条 链 路 阻塞 掉 。 
查看 S1 和 S2 的 STP 状态 信息 。 


[Sljdisplay stp brief 
MSTID 了 Port Role STP State Protection 
0 GigabitEthernet0/0/1 DESI FORWARDING NONE 
0 GigabitEthernet0/0/2 DESI FORWARDING NONE 
0 GigabitEthernet0/0/3 DESI FORWARDING NONE 


[S21]display stp brief 
MSTID Port Role STP State Protection 
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0 GigabitEthernet0/0/1 ROOT FORWARDING NONE 
0 GigabitEthernet0/0/2 ALTE DISCARDING NONE 
0 GigabitEthernet0/0/3 DESI FORWARDING NONE 


可 以 观察 到 S2 的 GE 0/0/2 接口 处 于 丢弃 状态 。 如 果 要 实质 性 地 增加 S1 和 S2 之 间 
的 带宽 ， 显 然 单 靠 增加 链 路 条 数 是 不 够 的 。 生 成 树 会 阻塞 多 余 接口 ， 使 得 目前 S1 与 S2 
之 间 的 数据 仍然 仅 通 过 GE 0/0/1 接口 传输 。 

3. 配置 Eth-Trunk 实现 链 路 聚合 (手工 负载 分 担 模式 ) 

通过 上 一 步骤 ， 发 现 仅 靠 简单 增加 互 连 的 链 路 ， 不 但 无 法 解决 目前 带宽 不 够 用 的 问 
题 , 还 会 在 切换 时 带 来 断 网 的 问题 , 显然 是 不 合理 的 。 此 时 网 络 管理 员 通过 配置 Eth-Trunk 
链 路 聚合 来 增加 链 路 带宽 ， 并 可 确保 元 余 链 路 。 

Eth-Trunk 工作 模式 可 以 分 为 两 种 : 

加 手工 负载 分 担 模式 : 需要 手动 创建 链 路 聚合 组 , 并 配置 多 个 接口 加 入 到 所 创建 的 
Eth-Trunk 中 ; 

国 静态 LACP 模式 :该 模式 通过 LACP 协议 协商 Eth-Trunk 参数 后 自主 选择 活动 
接口 。 

在 S1 和 S2 上 配置 链 路 聚合 ， 创 建 Eth-Trunk 1 接口 ， 并 指定 为 手工 负载 分 担 模式 。 


[Sillinterface Eth-Trunk 1 
[S1-Eth-Trunkljmode manual load-balance 


[S21]interface Eth-Trunk 1 

[$2-Eth-Trunkl]mode manual load-balance 

将 Sl1 和 S2 的 GE 0/0/1 和 GE 0/0/2 分 别 加 入 到 Eth-Trunk 1 接口 。 
[Sllinterface GigabitEthernet 0/0/1 

[$1-GigabitEthernet0/0/1leth-trunk 1 

[Sl1-GigabitEthernet0/0/1linterface GigabitEthernet 0/0/2 

[S1-GigabitEthernet0/0/2]eth-trunk 1 


[S21]interface GigabitEthernet 0/0/1 
[$2-GigabitEthemet0/0/1]eth-trunk 1 
[S2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[$2-GigabitEthernet0/0/2]eth-trunk 1 


配置 完成 后 ， 使 用 display eth-trunk 1 命令 查看 S1 和 S2 的 Eth-Trunk 1 接口 状态 。 
[Slldisplay eth-trunk 1 
Eth-Truinkl's state information is; 


WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP 
Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8 

Operate status: up Number Of Up Port In Trunk: 2 

PortName Status Weight 

GigabitEthernet0/0/1 Up 1 

GigabitEthermnet0/0/2 Up 1 

[S2]display eth-trunk 1 

Eth-Trunkl's state information is: 

WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP 
Least Active-linknumber: 1 Max Bandwidth-affected-linknumber:8 

Operate status; up Number Of Up Port In Trunk: 2 


PortName Status Weight 
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GigabitEthermet0/0/1 过 - 
GigabitEthemet0/0/2 


可 以 观察 到 ，S1 与 S2 的 工作 模式 为 NORMAL (手工 负载 分 担 方式 )，GE 0/0/1 与 
GE 0/0/2 接口 已 经 添加 到 Eth-Trunk 1 中 ， 并 且 处 于 UP 状态 。 


使 用 display interface eth-trunk 1 命令 查看 S2 的 Eth-Trunk 1 接口 信息 。 
[S2]display interface Eth-Trunk 1 
Eth-Trunkl current state : UP 
Line protocol current state : UP 
Description: 
Switch Port, PVID : 1, Hash arithmetic : According to SIP-XOR-DIPMaximal BW: 4294967.29G CQurrent BW: 
4294967.29G, The Maximum Frame Length is 9216 
IP Sending Frames' Format is PKTFMT ETHNT 2, Hardware address is 4clf-cc71-68d4 
Current system time: 2013-06-29 22:34:26-08:00 
Input bandwidth utilization : 0% 
Output bandwidth utilization : 0% 


PortName Status Weight 
GigabitEthernet0/0/1 UP 1 
GigabitEthernet0/0/2 UP 1 


The Number of Ports in Trunk : 2 
The Number of UP Ports in Trunk : 2 


可 以 观察 到 ， 目 前 该 接口 的 总 带宽 ， 是 GE 0/0/1 和 GE 0/0/2 接口 带宽 之 和 。 


查看 S2 接口 的 生成 树 状态 。 
[S21]display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/3 DESI FORWARDING NONE 
0 Eth-Trunkl ROOT FORWARDING NONE 


可 以 观察 到 ，S2 的 2 个 接口 被 捆绑 成 一 个 Eth-Trunk 接口 ， 并 且 该 接口 现在 处 于 转 
发 状态 。 

使 用 ping 命令 持续 测试 ， 同 时 将 S2 的 GE 0/0/1 或 者 GE 0/0/2 接口 关闭 模拟 故 
障 发 生 。 


PC>ping 10.0.1.2 -t 

Ping 10.0.1.2: 32 data bytes, Press Ctrl_C to break 
From 10.0.1.2: bytes=32 seq=] ttl=128 time=63 ms 
From 10.0.1.2; bytes=32 seq=2 ttl=128 time=31 ms 
From 10.0.1.2: bytes=32 seq=3 ttl=128 time=31 ms 
From 10.0.1.2: bytes=32 seq=4 ttl=128 time=16 ms 
From 10.0.1.2: bytes=32 seq=5 ttl=128 time=31 ms 
Request timeout! 

From 10.0.1.2; bytes=32 seq=7 ttl=128 time=47 ms 
From 10.0.1.2: bytes=32 seq=8 ttl=128 time=15 ms 
From 10.0.1.2: bytes=32 seq=9 ttl=128 time=31 ms 
From 10.0.1.2;: bytes=32 seq=10 ttl=128 time=16 ms 


可 以 观察 到 ， 当 链 路 故障 发 生 时 ， 链 路 立刻 进行 切换 ， 数 据 包 仅 丢 了 一 个 ， 并 且 只 
要 物理 链 路 有 一 条 是 正常 的 ，Eth-Trunk 接口 就 不 会 断 开 ， 仍 然 可 以 保证 数据 的 转发 。 可 
见 ，Eth-Trunk 在 提高 了 带宽 的 情况 下 ， 也 实现 了 链 路 元 余 。 模 拟 完 成 后 将 S2 接口 恢复 。 

4， 配置 Eth-Trunk 实现 链 路 聚合 (静态 LACP 模式 ) 

在 上 一 节 中 ， 假 设 两 条 链 路 中 的 一 条 出 现 了 故障 ， 只 有 一 条 链 路 正常 工作 的 情况 下 
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无 法 保证 带宽 。 现 网 络 管理 员 为 公司 再 部 署 一 条 链 路 作为 备份 链 路 ， 并 采用 静态 LACP 
模式 配置 Eth-Trunk 实现 两 条 链 路 同时 转发 ， 一 条 链 路 备份 ， 当 其 中 一 条 转发 链 路 出 现 
问题 时 ， 备 份 链 路 可 立即 进行 数据 转发 。 

开启 $S1 与 S2 上 的 GE 0/0/5 接口 模拟 增加 了 一 条 新 链 路 。 


[Sljinterface GigabitEthernet 0/0/5 
[S1-GigabitEthernet0/0/5]undo shutdown 


[S2]jinterface GigabitEthernet 0/0/5 
[S2-GigabitEthernet0/0/5]undo shutdown 


在 S1 和 S2 上 的 Eth-Trunk 1 接口 下 ， 将 工作 模式 改 为 静态 LACP 模式 。 


[Sllinterface Eth-Trunk 1 
[S1-Eth-Trunkl]mode lacp-static 
Error: Error in changing trunk working Imode, There is(are) port(s) in the trunk. 


[S2]interface Eth-Trunk 1 
[S2-Eth-Trunk1]mode lacp-static 
Error: Error in changing trunk working mode, There is(are) port(s) in the trunk. 


发 现 报错 ， 此 时 需要 将 先前 已 经 加 入 到 Eth-Trunk 接口 下 的 物理 接口 先 删除 。 


[Sllinterface GigabitEthernet 0/0/1 
[S1-GigabitEthernet0/0/1jundo eth-trunk 1 
[S1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[S1-GigabitEthernet0/0/2]undo eth-trunk 1 


[S2]interface GigabitEthernet 0/0/1 
[S2-GigabitEthernet0/0/1]undo eth-trunk 1 
[S2-GigabitEthernet0/0/1jinterface GigabitEthernet 0/0/2 
[S2-GigabitEthernet0/0/2]undo eth-trunk 1 


删除 完成 后 ， 再 在 S1 和 S2 上 的 Eth-Trunk 1 接口 下 ， 将 工作 模式 改 为 静态 LACP 


模式 ,并 将 S1 和 S2 的 GE 0/0/1、GE 0/0/2 和 GE 0/0/5 接口 分 别 加 入 到 Eth-Trunk 1 接口 。 
[Sllinterface Eth-Trunk 1 
[Sl1-Eth-Trunkl lmode lacp-static 
[$1-Eth-Trunkl |interface GigabitEthernet 0/0/1 
[S1-GigabitEthernet0/0/1]jeth-trunk 1 
[Sl1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[S1-GigabitEthernet0/0/2Jeth-trunk 1 
[S1-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/5 
[$1-GigabitEthernet0/0/5]eth-trunk 1 


[S2]interface Eth-Trunk 1 

[$2-Eth-Trunkl]mode lacp-static 

[S2-Eth-Trunkl Jinterface GigabitEthernet 0/0/1 
[$2-GigabitEthernet0/0/1]eth-trunk 1 
[S2-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[$2-GigabitEthernet0/0/2]eth-trunk 1 
[$2-GigabitEthemet0/0/2]interface GigabitEthernet 0/0/5 
[S2-GigabitEthemet0/0/5]eth-trunk 1 

配置 完成 后 ， 查 看 S1 的 Eth-Trunk 1 接口 状态 。 
[Slldisplay eth-trunk 1 

Eth-Trunkl's state information js: 

Local: 

LAG ID: 1 WorkingMode: STATIC 

Preempt Delay: Disabled Hash arithmetic; According to SIP-XOR-DIP 
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System Priority: 32768 System ID: 4clf-ce55-b90f 

Least Active-linknumber: 1 Max Active-linknumber: 8 

Operate status: up Number Of Up Port In Trunk: 3 

ActorPortName Status PortType PortPri PortNo PortKey PortState Weight 
GigabitEthernet0/0/2 Selected 1000TG 32768 3 401 10111100 1 
GigabitEthernet0/0/1 «ZSelected 1000TG 32768 2 401 10111100 1 
GigabitEthernet0/0/5 Selected 1000TG 32768 6 401 10111100 1 
Partner: 

ActorPortName SysPri SystemID PortPri PortNo PortKey PortState 


GigabitEthernet0/0/2 32768 4clf-ce71-68d4 32768 3 401 10111100 
GigabitEthermet0/0/1 32768 4clf-ce71-68d4 32768 2 401 10111100 
GigabitEthernet0/0/5 32768 4clf-ce71-68d4 32768 6 401 10111100 


可 以 观察 到 ，3 个 接口 默认 都 处 于 活动 状态 (Selected)。 

将 S1 的 系统 优先 级 从 默认 的 32768 改 为 100, 使 其 成 为 主动 端 ( 值 越 低 优先 级 越 高 )， 
并 按照 主动 端 设备 的 接口 来 选择 活动 接口 。 两 端 设备 选 出 主动 端 后 ， 两 端 都 会 以 主动 端 
的 接口 优先 级 来 选择 活动 接口 。 两 端 设备 选择 了 一 致 的 活动 接口 ， 活 动 链 路 组 便 可 以 建 
立 起 来 ， 设 置 这 些 活动 链 路 以 负载 分 担 的 方式 转发 数据 。 


[Slllacp priority 100 

配置 完成 后 ， 查 看 S1 的 Eth-Trunk 1 接口 状态 。 
[Slldisplay eth-trunk 1 

Eth-Trunkl's state information is: 

Local: 

LAG ID: 1 WorkingMode: STATIC 

Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP 
System Priority: 100 System ID: 4clf-ce55-b90f 


Least Active-linknumber: ] Max Active-linknumber: 8 


可 以 观察 到 ， 已 经 将 Sl1 的 LACP 系统 优先 级 改 为 100， 而 S2 没 修 改 , 仍 为 默认 值 。 
在 S1 上 配置 活动 接口 上 限 阐 值 为 2。 


[Sllinterface Eth-Trunk 1 

[$1-Eth-Trunkl]max active-linknumber 2 

在 S1 上 配置 接口 的 优先 级 确定 活动 链 路 。 
[Sllinterface GigabitEthernet 0/0/1 
[Sl1-GigabitEthernet0/0/1]lacp priority 100 
[$1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 
[Sl1-GigabitEthernet0/0/2]lacp priority 100 


配置 接口 的 活动 优先 级 将 默认 的 32768 改 为 100， 目 的 是 使 GE 0/0/1 和 GE 0/0/2 接 
口 成 为 活动 状态 。 
配置 完成 后 ， 查 看 S1 的 Eth-Trunk 1 接口 状态 。 


[Slldisplay eth-trunk 1 
Eth-Trunkl's state information is: 


Local: 

LAG ID: 1 WorkingMode: STATIC 

Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP 
System Priority: 100 System ID; 4clf-ce55-b90f 


Least Active-linknumber: 1 Max Active-linknumber: 2 
Operate status: up Number Of Up Port In Trunk: 2 
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ActorPortName Status PortType PortPri PortNo PortKey PortState Weight 

GigabitEthemet0/0/2 Selected 1000TG 1003 401 -10111100 1 
GigabitEthemet0/0/] Selected 1000TG 1002 401 10111100 1 

GigabitEthernet0/0/5 Unselect 1000TG 32768 6 401 10100000 1 


Partiner: 


Wo 


可 以 观察 到 ， 由 于 将 接口 的 阔 值 改 为 2( 默 认 活动 接口 最 大 阔 值 为 8), 该 Eth-Trunk 
接口 下 将 只 有 两 个 成 员 处 于 活动 状态 ， 并 且 具 有 负载 分 担 能 力 。 而 GE 0/0/5 接口 已 处 于 
不 活动 状态 〈Unselect)， 该 链 路 作为 备份 链 路 。 当 活动 链 路 出 现 故 障 时 ， 备 份 链 路 将 会 
替代 故障 链 路 ， 保 持 数据 传输 的 可 靠 性 。 

将 Sl 的 GE 0/0/1 接口 关闭 ， 验 证 Eth-Trunk 链 路 聚合 信息 。 


[Sl]interface GigabitEthernet 0/0/1 
[S1-GigabitEthernet0/0/1]shutdown 


[Sl1-GigabitEthernet0/0/1]display eth-trunk 1 
Eth-Trunkl's state information is: 
Local: 


LAG ID: 1 


Preempt Delay: Disabled 


System Priority: 100 


WorkingMode: STATIC 
Hash arithmetic: According to SIP-XOR-DIP 
System ID: 4clf-cc27-e139 


Least Active-linknumber: ] Max Active-linknumber: 2 


Operate status: up 


Number Of Up Port In Trunk: 2 


ActorPortName Status PortType PortPri PortNo PortKey PortState Weight 
GigabitEthernet0/0/1 Unselect 1GE 100 2 305 10100010 1 
GigabitEthernet0/0/2 Selected 1GE 100 3 305 10111100 1 
GigabitEthernet0/0/5 Selected 1GE 32768 56 305 10111100 1 
Partner: 


可 以 观察 到 ，S1 的 GE 0/0/1 接口 已 经 处 于 不 活动 状态 ， 而 GE 0/0/5 接口 为 活动 
状态 。 如 果 将 S1 的 GE 0/0/1 接口 开启 后 ， 又 会 恢复 为 活动 状态 ，GE 0/0/5 则 为 不 活 


动 状态 。 


至 此 ， 完 成 了 整个 Eth-Trunk 的 部 署 。 


思考 


当 接 口 数 超出 最 大 负载 冰 值 时 ， 剩 余 接 口 是 否 转发 流量 ? 
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6.1 静态 路 由 及 默认 路 由 基本 配置 


原理 概述 


静态 路 由 是 指 用 户 或 网 络 管理 员 手 工 配置 的 路 由 信息 。 当 网 络 的 拓扑 结构 或 链 路 状 
态 发 生 改变 时 ， 需 要 网 络 管理 人 员 手 工 修改 静态 路 由 信息 。 相 比 于 动态 路 由 协议 ， 静 态 
路 由 无 需 频 繁 地 交换 各 自 的 路 由 表 ， 配 置 简单 ， 比 较 适 合 小 型 、 简 单 的 网 络 环境 。 

静态 路 由 不 适合 大 型 和 复杂 的 网 络 环境 ， 因 为 当 网 络 拓扑 结构 和 链 路 状态 发 生变 化 
时 ， 网 络 管理 员 需 要 做 大 量 的 调整 ， 且 无 法 自动 感知 错误 发 生 ， 不 易 排 错 。 

默认 路 由 是 一 种 特殊 的 静态 路 由 , 当 路 由 表 中 与 数据 包 目 的 地 址 没有 匹配 的 表 项 时 ， 
数据 包 将 根据 默认 路 由 条 目 进行 转发 。 默 认 路 由 在 某 些 时 候 非常 有 效 , 如 在 末梢 网 络 中 ， 
默认 路 由 可 以 大 大 简化 路 由 器 配置 ， 减 轻 网 络 管理 员 的 工作 负担 。 


实验 目的 


。 掌握 配置 静态 路 由 《指定 接口 ) 的 方法 

。 掌握 配置 静态 路 由 《指定 下 一 跳 IP 地 址 〉 的 方法 
。 掌握 测试 静态 路 由 连通 性 的 方法 

。 掌握 配置 默认 路 由 的 方法 

。 掌握 测试 默认 路 由 的 方法 

。 掌握 在 简单 网 络 中 部 署 静态 路 由 时 的 故障 排除 方法 
。 掌握 简单 的 网 络 优化 方法 


实验 内 容 


在 由 3 台 路 由 器 所 组 成 的 简单 网 络 中 ，R1 与 R3 各 自 连接 着 一 台 主机 ， 现 在 要 求 能 够 实 
现 主机 PC-l 与 PC-2 之 间 的 正常 通信 。 本 实验 将 通过 配置 基本 的 静态 路 由 和 默认 路 由 来 实现 。 


实验 拓扑 
静态 路 由 及 默认 路 由 基本 配置 的 拓扑 如 图 6-1 所 示 。 
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Ethernet 0/0/0 








PC-1 PC-2 
6-1 静态 路 由 及 默认 路 由 基本 配置 拓扑 
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实验 编 址 


实验 编 址 见 表 6-1。 
表 6-1 实验 编 址 


设备 IP 地 址 子 网 掩 码 默认 网 关 

PC-1 Ethernet 0/0/1 192.168.10.10 255.255.255.0 192.168.10.1 
R1 (AR2220) 0/0/0 192.168.10.1 255.255.255.0 N/A 
Serial 0/0/0 10.0.12.1 255.255.255.0 N/A 
R2 (AR2220) Dern 0/0/1 10.0.122 255.255.255.0 N/A 
Serial 0/0/0 10.0.23.2 2535:255.253.0 N/A 
R3 CAR2220) Serial 0/0/1 10.0.23.3 255.255.255.0 N/A 
Ethernet 0/0/0 192.168.20.3 255.255.255.0 N/A 

PC-2 Ethernet 0/0/1 192.168.20.20 255.255.255.0 192.168.20.3 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 


<Rl>ping -c 1 192.168.10.10 
PING 192.168.10.10: 56 data bytes, press CTRL _C to break 
Reply from 192.168.10.10: bytes=56 Sequence=] tl=255 time=510 ms 
-一 192.168.10.10 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 510/510/510 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
各 直 连 链 路 间 的 卫 连通 性 测试 完成 后 ， 现 尝试 在 主机 PC-1 上 直接 ping 主机 PC-2。 
PC>ping 192.168.20.20 
Ping 192.168.20.20: 32 data bytes, Press Ctrl_C to break 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 


发 现 无 法 连通 ， 这 时 需要 思考 是 什么 问题 导致 了 它们 之 间 无 法 通信 。 

首先 假设 主机 PC-1 与 PC-2 之 间 如 果 能 够 正常 连通 , 那么 主机 A 将 发 送 数据 给 其 网 
天 设备 R1; Rl1 收 到 后 将 根据 数据 包 中 的 目的 地 址 查看 它 的 路 由 表 ， 找 到 相应 的 目的 网 
络 的 所 在 路 由 条 目 ， 并 根据 该 条 目 中 的 下 一 跳 和 出 接口 信息 将 该 数据 转发 给 下 一 台 路 由 
器 R2; R2 采取 同样 的 步骤 将 数据 转发 给 R3; 最 后 R3 也 采取 同样 的 步骤 将 数据 转发 给 
与 自己 直 连 的 主机 PC-2; 主机 PC-2 在 收 到 数据 后 ， 与 主机 PC-1 发 送 数 据 到 PC-2 的 过 
程 一 样 ， 再 发 送 相应 的 回应 消息 给 PC-1。 

在 保证 基本 配置 没有 错误 的 情况 下 , 首先 查看 主机 PC-1 与 其 网 关 设 备 R1 间 能 否 正 
常 通信 。 
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PC>ping 192.168.10.1 
Ping 192.168.10.1: 32 data bytes, Press Ctrl C to break 
From 192.168.10.1: bytes=32 seq=] ttl=255 time=16 ms 
From 192.168.10.1: bytes=32 seq=2 ttl=255 time=16 ms 
From 192.168.10.1: bytes=32 seq=3 ttl=255 time=16 ms 
From 192.108,10.1: bytes=32 seq=4 ttl=255 time=31 ms 
From 192.168.10.1: bytes=32 seq=5 ttl=255 time<l ms 
--- 192.168.10.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 0/15/31 ms 
主机 与 网 关 之 间 通信 正常 ， 接 下 来 检查 网 关 设 备 R1 上 的 路 由 表 。 
<Rjl>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 Serial0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1l Serial0/0/0 
10.0.12.2/32 Direct 0 0 D 10.0.12.2 Serial0/0/0 
127.0.0.0/8 Direct 0 0 D127:0:0.] InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 Ethernet0/0/0 
192.168.10.1/32 Direct 0 D 127.0.0.l Ethernet0/0/0 


0 
可 以 看 到 在 R1 的 路 由 表 上 , 没有 任何 关于 主机 PC-2 所 在 网 段 的 信息 。 可 以 使 用 同 
样 的 方式 查看 R2 与 R3 的 路 由 表 。 


<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 
Destinations : 8 Routes :8 


Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 Serial0/0/1 
10.0.12.1/32 Direct 0 0 D 10.0.12.1 Serial0/0/1 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 Serial0/0/1 
10.0.23.0/24 Direct 0 0 D100232 Serial0/0/0 
10.0.23.2/32 Direct 0 0 DD 1270.0] Serial0/0/0 
10.0.23.3/32 Direct 0 0 D 10.0.23.3 Serial0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.,l InLoopBack0 


<R3>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.23.0/24 Direct 0 0 D 10.0.23.3 Serial0/0/1 
10.0.23.2/32 Direct 0 0 D 10.0.23.2 Serial0/0/1 
10.0.23.3/32 Direct 0 0 Ty。 1270.0.1 Serial0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.l InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.l InLoopBack0 
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192.168.20.0/24 Direct 0 0 D 192.168.20.3 Ethernet0/0/0 
192.168.20.3/32 Direct 0 0 D 127.0.0.1 Ethernet0/0/0 


可 以 看 到 在 R2 上 没有 任何 关于 主机 PC-1 和 PC-2 所 在 网 段 的 信息 ，R3 上 没有 任何 
关于 主机 PC-1 所 在 网 段 的 信息 ， 验 证 了 初始 情况 下 各 路 由 器 的 路 由 表 上 仅 包 括 了 与 自 
身 直 接 相 连 的 网 段 的 路 由 信息 。 

现在 主机 PC-1 与 PC-2 之 间 跨 越 了 若干 个 不 同 网 段 ， 要 实现 它们 之 间 的 通信 ， 只 通 
过 简单 的 全 地 址 等 基本 配置 是 无 法 实现 的 ， 必 须 在 3 台 路 由 器 上 添加 相应 的 路 由 信息 ， 
可 以 通过 配置 静态 路 由 来 实现 。 

配置 静态 路 由 有 两 种 方式 ,一 种 是 在 配置 中 采取 指定 下 一 跳 卫 地址 的 方式 ， 另 一 种 
是 指定 出 接口 的 方式 。 

2. 实现 主机 PC-1 与 PC-2 之 间 的 通信 

在 R1 上 配置 目的 网 段 为 主机 PC-2 所 在 网 段 的 静态 ， 即 目的 IP 地 址 为 
192.168.20.0， 手 码 为 255.255.255.0。 对 于 R1 而 言 ， teed PC-2， 则 必须 先 
发 送 给 R2， 所 以 R2 即 为 R1 的 下 一 跳 路 由 器 ，R2 与 R1 所 在 的 直 连 链 路 上 的 物理 接口 
的 全 地 址 即 为 下 一 跳 IP 地 址 ， 即 10.0.12.2。 


[R1l]ip route-static 192.168.20.0 255.255.255.0 10.0.12.2 
配置 完成 后 ， 查 看 R1 上 的 路 由 表 。 
<Rl>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes : 8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 DIO0021 Serial0/0/0 
10.0.12.1/32 ”Direct 0 0 D 127.0.0.l Serial0/0/0 
10.0.12.2/32 Direct 0 0 D IO02 汉 Serial0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1l InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 Ethernet0/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.l Ethernet0/0/0 
192.168.20.0/24 Static 60 0 RD 10.0.12.2 Serial0/0/0 


配置 完成 后 ， 可 以 在 R1 的 路 由 表 上 查看 到 主机 PC-2 所 在 网 段 的 路 由 信息 。 
采取 同样 的 方式 在 R2 上 配置 目的 网 段 为 主机 PC-2 所 在 网 段 的 静态 路 由 。 


[R2]ip route-static 192.168.20.0 255.255.255.0 10,0,23.3 
配置 完成 后 ， 查 看 R2 上 的 路 由 表 。 
<R2>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 
Destinations : 9 Routes :9 


Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 Serial0/0/1 
10.0.12;1/32 Direct 0 0 DEL0032 Serial0/0/1 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 Serial0/0/1 
10.0.23,0/24 Direct 0 0 D10/0232 Serial0/0/0 
10.0.23.2/32 Direct 0 0 D 127.0.0.1 Serial0/0/0 
10.0.23.3/32 Direct 0 0 D 10.0:23;3 Serial0/0/0 
127.0.0.0/8 ”Direct 0 0 D 127.0.0.1 InLoopBack0 
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127.0.0.1/32 


Direct 


192.168.20.0/24 Static 
配置 完成 后 ， 可 以 在 R2 的 路 由 表 上 查看 到 主机 PC-2 所 在 网 段 的 路 由 信息 。 
此 时 在 主机 PC-1 上 ping 主机 PC-2。 
PC>ping 192.168.20.20 
Ping 192.168.20.20: 32 data bytes, Press Ctrl C to break 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
Reqguest timeout! 
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0 0 
60 0 


D 127.0.0.l 
RD 10.0.23.3 


InLoopBack0 
Serial0/0/0 


发 现 仍然 无 法 连通 。 在 主机 PC-1 的 E0/0/1 接口 上 进行 数据 抓 包 ， 可 以 观察 到 如 图 
6-2 所 示 的 现象 。 
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Cid=0xebde, 
Cig=0xedde, 
Cid=0xefde, 
Cida0xf1ide, 
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seq(bea/ Ne)=s3/768, tr1=128) 
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图 6-2 抓 包 观 察 


此 时 主机 PC-1 仅 发 送 了 ICMP 请 求 消息 , 并 没有 收 到 任何 回应 消息 。 原因 在 于 现在 
仅仅 实现 了 PC-1 能 够 通过 路 由 将 数据 正常 转发 给 PC-2， 而 PC-2 仍然 无 法 发 送 数据 给 
PC-1， 所 以 同样 需要 在 R2 和 R3 的 路 由 表 上 添加 PC-1 所 在 网 段 的 路 由 信息 。 

在 R3 上 配置 目的 网 段 为 PC-1 所 在 网 段 的 静态 路 由 , 即 目的 人 P 地址 为 192.168.10.0， 
目的 地 址 的 掩 码 除了 可 以 采用 点 分 十 进 制 的 格式 表示 外 ， 还 可 以 直接 使 用 掩 码 长 度 ， 即 
24 来 表示 。 对 于 R3 而 言 ， 要 发 送 数 据 到 PC-1， 则 必须 先 发 送 给 R2， 所 以 R3 与 R2 所 
在 直 连 链 路 上 的 物理 接口 S 0/0/1 即 为 数据 转发 接口 ， 也 称 为 出 接口 , 在 配置 中 指定 该 接 
口 即 可 。 

[R3]ip route-static 192.168.10.0 24 Serial 0/0/1 

采取 同样 的 方式 在 R2 上 配置 目的 网 段 为 PC-1 所 在 网 段 的 静态 路 由 。 

[R2]ip route-static 192.168.10.0 24 Serial 0/0/1 

配置 完成 后 ， 查 看 R1、R2、R3 上 的 路 由 表 。 

<Rl>display ip routing-table 

Route Flags: R - relay, D - download to fib 


2 


Routing Tables: Public 


Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D10:0W12:]1 Serial0/0/0 
10.0.12.1/32 Direct 0 0 D “127.0.0.1 Serial0/0/0 
10.0.12.2/32 Direct 0 0 D0022 Serial0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D00d InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 Ethernet0/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 Ethernet0/0/0 
192.168.20.0/24 Static 60 0 RD 10.0.12.2 Serial0/0/0 
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<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 





Destinations : 10 Routes : 10 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 Serial0/0/1 
10.0.12.1/32 Direct 0 0 D> 100s2] Serial0/0/1 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 Serial0/0/1 
10.0.23.0/24 Direct 0 0 D 10.0.23.2 Serial0/0/0 
10.0.23.2/32 Direct 0 0 D 127.0.0.1l Serial0/0/0 
10.0.23.3/32 Direct 0 0 D 10.0.23.3 Serial0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 1270:0:1 InLoopBack0 
192.168.10.0/24 Static 60 0 D 10.0.12.1 Serial0/0/1 
192.168.20.0/24 Static 60 0 RD 10.0.23.3 Serial0/0/0 
<R3>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 8 Routes : 8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.23.0/24 Direct 0 0 D 10.0.23.2 Serial0/0/1 
10.0.23.2/32 Direct 0 0 D0023 有 2 Serial0/0/1 
10.0.23.3/32 Direct 0 0 D 127.0.0.1 Serial0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 Di2A09y InLoopBack0 
192.168.10.0/24 Static 60 0 D 10.0.23.2 Serial0/0/1 
192.168.20.0/24 Direct 0 0 D 192.168.20,3 Ethernet0/0/0 
192.168.20.3/32 Direct 0 D 127.0.0.1 Ethernet0/0/0 


可 以 看 到 ， 现 在 每 台 路 由 器 上 都 拥有 了 主机 PC-1 与 PC-2 所 在 网 段 的 路 由 信息 。 再 
在 主机 PC-1 上 ping 主机 PC-2。 

PC>ping 192.168.20.20 
Ping 192.168,20.20: 32 data bytes, Press Ctrl_C to break 
From 192.168.20.20: bytes=32 seg=] ttl=125 time=78 ms 
From 192.168.20.20: bytes=32 seq=2 ttl=125 time=47 ms 
From 192.168.20.20: bytes=32 seq=3 ttl=125 time=47 ms 
From 192.168.20.20: bytes=32 seq=4 ttl=125 time=62 ms 
From 192.168.20.20: bytes=32 seq=5 ttl=125 time=63 ms 
-一 192.168.20.20 ping statistics --- 

$ packet(s) transmitted 

5 packet(s) received 
0.00% packet loss 

round-trip min/ayg/max = 47/59/78 ms 


可 以 连通 ， 即 现在 已 经 实现 了 主机 PC-1 与 PC-2 之 间 的 正常 通信 。 

3. 实现 全 网 全 通 来 增强 网 络 的 可 靠 性 

经 过 上 面 的 步骤 ， 主 机 PC-1 与 PC-2 之 间 已 经 能 够 正常 通信 。 假 设 此 时 网 络 突然 出 
现 故 障 ， 主 机 PC-1 侧 的 网 络 管理 员 发 现 无 法 与 PC-2 正常 通信 ， 于 是 先 测试 与 网 关 设 备 
Ril 间 的 连通 性 。 


PC>ping 192.168.10.1 
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Ping 192.168.10.1: 32 data bytes, Press Ctrl C to break 
From 192.168.10.1: bytes=32 seq=l ttl=255 time<l ms 
From 192.168.10.1: bytes=32 seq=2 ttl=255 time=16 ms 
From 192.168.10.1: bytes=32 seq=3 ttl=255 time=16 ms 
From 192.168.10.1: bytes=32 seq=4 ttl]=255 time=16 ms 
From 192.168.10.1:bytes=32 seq=5 ttl=255 time=16 ms 
~-- 192.168.10.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 0/12/16 ms 
发 现 与 网 关 间 的 通信 正常 ， 再 测试 与 主机 PC-2 的 网 关 设备 R3 间 的 连通 性 。 
PC>ping 10.0.23.3 
Ping 10.0.23.3: 32 data bytes, Press Ctrl_C to break 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 


发 现 无 法 与 R3 正常 通信 , 这 也 意味 着 此 时 网 络 管理 员 将 无 法 通过 主机 PC-1 登录 到 
R3 上 进一步 排除 故障 ， 由 此 可 见 , 保证 全 网 的 连通 性 能 够 增强 整 网 的 可 靠 性 ,提高 网 络 
的 可 维护 性 及 健壮 性 。 

因此 有 必要 在 R1 的 路 由 表 中 添加 R2 与 R3 间 直 连 网 段 的 路 由 信息 , 同样 也 应 在 R3 
的 路 由 表 中 添加 R1 与 R2 间 直 连 网 段 的 路 由 信息 ， 实 现 全 网 全 通 。 


[R1lip route-static 10.0.23.0 24 10.0.12.2 


[R3]ip route-static 10.0.12.0 24 Serial 0/0/1 

配置 完成 后 ， 查 看 R1、R2、R3 的 路 由 表 ， 注 意 观 察 新 增 的 条 目 。 
<R1>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 9 Routes :9 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10:0.12.0/24 Direct 0 0 D 10.0.12.1 Serial0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 Serial0/0/0 
10:0.12.2/32 Direct 0 0 D 10.0.12.2 Serial0/0/0 
10.0.23.0/24 Static 60 0 RD 10.0:12.2 Serial0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 Ethernet0/0/0 
192.168.10.1/32 Direct 0 0 D “ 127.0.0.1 Ethernet0/0/0 
192.168.20.0/24 Static 60 0 RD 10.0.12.2 Serial0/0/0 
<R2>display ip routing-table 
Route Flags: R - relay, D - download to fb 
Routing Tables: Public 
Destinations : 10 Routes : 10 
Destination/Mask Proto Pre Cost Flags NextHop Interface 


10.0.12.0/24 Direct 0 0 D 10.0.12.2 Serial0/0/1 


第 6 章 静态 路 由 151 


10.0.12.1/32 Direct 0 0 Du00.1l24 Serial0/0/1 
10.0.12.2/32 Direct 0 0 D127.005l Serial0/0/1 
10.0.23.0/24 Direct 0 0 D10023 之 Serial0/0/0 
10.0.23.2/32 Direct 0 0 DO 127.0:0.1 Serial0/0/0 
10.0.23.3/32 Direct 0 0 D dl0023a Serial0/0/0 
127.0.0.0/8 Direct 0 0 Di2700 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 Static 60 0 D 10.0.12.1 Serial0/0/1 
192.168.20.0/24 Static 60 0 RD 10.0.23.3 Serial0/0/0 
<R3>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 9 Routes :9 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Static 60 0 D100232 Serial0/0/1 
10.0.23.0/24 Direct 0 0 D10.0%233 Serial0/0/1 
10.0.23.2/32 Direct 0 0 D 10.0.23.2 Serial0/0/1 
10.0.23.3/32 Direct 0 0 D .12700 Serial0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0:08 InLoopBack0 
127.0.0.1/32 Direct 0 0 D ‘127:0i01 InLoopBack0 
192.168.10.0/24 Static 60 0 D 10.0.23.2 Serial0/0/1 
192.168.20.0/24 Direct 0 0 D 192.168.20.3 Ethernet0/0/0 
192.168.20.3/32 Direct 0 D 127.0.0.l Ethernet0/0/0 


此 时 再 在 主机 PC-1 上 测试 与 R3 间 的 连通 性 。 


PC>ping 10.0.23.3 
Ping 10.0.23.3: 32 data bytes, Press Ctrl_C to break 
From 10.0.23.3: bytes=32 seq=] ttl=253 time=47 ms 
From 10.0.23.3: bytes=32 seq=2 ttl=253 time=47 ms 
From 10.0.23.3: bytes=32 seq=3 ttl=253 time=47 ms 
From 10.0.23.3: bytes=32 seq=4 ttl=253 time=47 ms 
From 10.0.23.3: bytes=32 seq=5 ttl=253 time=93 ms 
—- 10.0.23.3 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 47/56/93 ms 


测试 成 功 , 主机 PC-1 可 以 顺利 与 R3 通信 , 同样 主机 PC-2 此 时 也 能 够 与 R1 进行 通 
言 ， 测 试 过 程 这 里 省 略 。 

4. 使 用 默认 路 由 实现 简单 的 网 络 优化 

通过 适当 减少 设备 上 的 配置 工作 量 ， 能 够 帮助 网 络 管理 员 在 进行 故障 排除 时 更 轻松 
地 定位 故障 ， 且 相对 较 少 的 配置 量 也 能 减少 在 配置 时 出 错 的 可 能 ， 另 一 方面 ， 也 能 够 相 
对 减少 对 设备 本 身 硬件 的 负担 。 

默认 路 由 是 一 种 特殊 的 静态 路 由 ， 使 用 默认 路 由 可 以 简化 路 由 器 上 的 配置 。 

查看 此 时 R1 上 的 路 由 表 。 


<R1>display ip routing-table 
Route Flags: R - relay, D - download to fib 了 


Routing Tables: Public 
Destinations : 9 Routes :9 
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Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 Serial0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.,0.1 Serial0/0/0 
10.0.12.2/32 Direct 0 0 D100N22 Serial0/0/0 
10.0.23.0/24 Static 60 0 RD 10.0.12.2 Serial0/0/0 
127.0.0.0/8 Direct 0 0 D127010.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D127.0.0:] InLoopBack0 

192.168.10.0/24 Direct 0 0 D 192.168.10.1 Ethernet0/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.I Ethernet0/0/0 
192.168.20.0/24 Static 60 0 RD 10.0.12.2 Serial0/0/0 


此 时 R1 上 存在 两 条 先前 经 过 手动 配置 的 静态 路 由 条 目 ， 且 它们 的 下 一 跳 和 出 接口 
都 一 致 。 

现在 在 RI1 上 配置 一 条 默认 路 由 ， 即 目的 网 段 和 掩 码 为 全 0， 表 示 任 何 网 络 ， 下 一 跳 
为 10.0.12.2， 并 删除 先前 配置 的 两 条 静态 路 由 。 


[RI1]ip route-static 0.0.0.0 0 10.0.12.2 
[Rljundo ip route-static 10.0.23.0 255.255.255.0 10.0.12.2 
[Rljundo ip route-static 192.168.20.0 255.255.255.0 10.0.12.2 


配置 完成 后 ， 查 看 R1 的 路 由 表 。 
<R1>display ip routing-table 
Route Flags: R - relay, D - download to fib 








Routing Tables: Public 


Destinations : 8 Routes : 8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 Static 60 0 RD 10.0.12.2 Serial0/0/0 
10.0.12.0/24 Direct 0 0 ID W100;12;1 Serial0/0/0 
10.0.12.1/32. Direct 0 0 网 天 性 克 人头 0 避 Serial0/0/0 
10.0.12.2/32 Direct 0 0 Dy 计 0.0 江 222 Serial0/0/0 
127.0.0.0/8 Direct 0 0 DY 127.0,0.1 JInLoopBack0 
127.0.0.1/32 Direct 0 0 D ”127.0.0.1 InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 Ethernet0/0/0 
192.168.10.1/32 Direct 0 D 127.0.0.1 Ethernet0/0/0 


再 测试 主机 PC-1 与 PC- 间 的 通信 。 


PC>ping 192.168.20.20 
Ping 192.168.20.20: 32 data bytes, Press Ctrl_C to break 
From 192.168.20.20: bytes=32 seq=1 ttl=125 time=63 ms 
From 192.168.20.20: bytes=32 seq=2 ttl=125 time=47 ms 
From 192.168.20.20: bytes=32 seq=3 ttl=125 time=31 ms 
From 192.168.20.20: bytes=32 seq=4 ttl=125 time=47 ms 
From 192.168.20.20: bytes=32 seq=5 ttl=125 time=47 ms 
--- 192.168.20.20 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 31/47/63 ms 


发 现 主机 PC-1 与 PC-2 间 的 通信 正常 ， 证 明 使 用 默认 路 由 不 但 能 够 实现 与 静态 路 
同样 的 效果 ， 而 且 还 能 够 减少 配置 量 。 在 R3 上 可 以 进行 同样 的 配置 。 
[R3]ip route-static 0.0.0.0 0 Serial 0/0/1 


[R3jundo ip route-static 10.0.12.0 255.255.255.0 Serial 0/0/1 
[R3]Jundo ip route-static 192.168.10.0 255.255.255.0 Serial 0/0/1 


再 次 测试 主机 PC-1 与 PC-2 间 的 通信 
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PC>ping 192.168.20.20 
Ping 192.168.20.20: 32 data bytes, Press Ctrl_C to break 
From 192.168.20.20: bytes=32 seq=1l ttl=125 time=78 ms 
From 192.168.20.20: bytes=32 seq=2 ttl=125 time=62 ms 
From 192.168.20.20: bytes=32 seq=3 ttl=125 time=47 ms 
From 192.168.20.20: bytes=32 seq=4 ttl=125 time=78 ms 
From 192.168.20.20: bytes=32 seg=5 ttl=125 time=62 ms 
--- 192.168.20.20 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 47/65/78 ms 


主机 PC-1 与 PC-2 间 的 通信 正常 。 


二 过 在 配 置 过 程 中 ， 顺 序 是 先 配置 里 认 路 由 ， 再 删除 原 有 的 静态 路 由 配置 ， 这 样 的 扣 
作 可 以 避免 网 络 出 现 通信 中 断 ， 即 要 在 配置 过 程 当中 注意 操作 的 规范 性 与 合理 性 。 


思考 


在 静态 路 由 配置 当中 ,可 以 采取 指定 下 一 跳 IP 地 址 的 方式 , 也 可 以 采取 指定 出 接口 
的 方式 ， 这 两 种 方式 存在 着 什么 区 别 ? 


6.2 浮动 静态 路 由 及 负载 均衡 


原理 概述 


浮动 静态 路 由 (Floating Static Route ) 是 一 种 特殊 的 静态 路 由 ， 通 过 配置 去 往 相同 的 
目的 网 段 ， 但 优先 级 不 同 的 静态 路 由 ， 以 保证 在 网 络 中 优先 级 较 高 的 路 由 ， 即 主 路 由 失 
效 的 情况 下 ， 提 供 备份 路 由 。 正 常情 况 下 ， 备 份 路 由 不 会 出 现在 路 由 表 中 。 

负载 均衡 (Load sharing)， 当 数据 有 多 条 可 选 路 径 前 往 同一 目的 网 络 ， 可 以 通过 配 
置 相同 优先 级 和 开销 的 静态 路 由 实现 负载 均衡 ， 使 得 数据 的 传输 均衡 地 分 配 到 多 条 路 径 
上 ， 从 而 实现 数据 分 流 、 减 轻 单 条 路 径 负载 过 重 的 效果 。 而 当 其 中 某 一 条 路 径 失 效 时 ， 
其 他 路 径 仍然 能 够 正常 传输 数据 ， 也 起 到 了 元 余 作用 。 


实验 目的 


。 理解 浮动 静态 路 由 的 应 用 场景 
。 掌握 配置 浮动 静态 路 由 的 方法 
。 掌握 测试 浮动 静态 路 由 的 方法 
。 掌握 配置 静态 路 由 负载 均衡 的 方法 
。 掌握 测试 静态 路 由 负载 均衡 的 方法 


实验 内 容 
R2 为 某 公 司 总 部 ，R1 与 R3 是 两 个 分 部 ， 主 机 PC-1 与 PC-2 所 在 的 网 段 分 别 模拟 
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Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D100:12:1 Serial0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 Serial0/0/0 
10.0.12.2/32 Direct 0 0 D00122 Serial0/0/0 
10.0.23.0/24 Static 60 0 RD 10.0.12.2 Serial0/0/0 
127.0.0.0/8 Direct 0 0 Boi0;0:l InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 JInLoopBack0 

192.168.10.0/24 Direct 0 0 D 192.168.10.1 Ethernet0/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.l Ethernet0/0/0 
192.168.20.0/24 Static 60 0 RD 10.0.12.2 Serial0/0/0 

此 时 R1 上 存在 两 条 先前 经 过 手动 配置 的 静态 路 由 条 目 ， 且 它们 的 下 一 跳 和 出 接口 


都 一 致 。 
现在 在 R1 上 配置 一 条 默认 路 由 ， 即 目的 网 段 和 掩 码 为 全 0， 表 示 任 何 网 络 ， 下 一 跳 
为 10.0.12.2， 并 删除 先前 配置 的 两 条 静态 路 由 。 


[Rllip route-static 0.0.0.0 0 10.0.12.2 
[Rljundo ip route-static 10.0.23.0 255.255.255.0 10.0.12.2 
[Rllundo ip route-static 192.168.20.0 255.255.255.0 10.0.12.2 


配置 完成 后 ， 查 看 Rl 的 路 由 表 。 
<Rl>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 Static 60 0 RD 10.0.12.2 Serial0/0/0 
10.0.12.0/24 Direct 0 0 D10:0a241 Serial0/0/0 
10.0.12.1/32 Direct 0 0 1 7.0:0i1 Serial0/0/0 
10.0.12.2/32 Direct 0 0 D 10.0:122 Serial0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.l InLoopBack0 
127.0.0.1/32 Direct 0 0 D127004 InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 Ethernet0/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 Ethernet0/0/0 


再 测试 主机 PC-1 与 PC-2 间 的 通信 。 
PC>ping 192.168.20.20 
Ping 192.168.20.20: 32 data bytes, Press Ctrl_C to break 
From 192.168,20.20: bytes=32 Seq=l ttl=125 time=63 ms 
Erom 192.168.20.20: bytes=32 Seq=2 ttl=125 time=47 ms 
From 192.168.20.20: bytes=32 seq=3 ttl=125 time=31 ms 
From 192.168.20.20; bytes=32 seq=4 ttl=125 time=47 ms 
From 192,168.20.20: bytes=32 seq=5 ttl=125 time=47 ms 
-=-- 192.168.20.20 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 31/47/63 ms 
发 现 主机 PC-1 与 PC-2 间 的 通信 正常 ， 证 明 使 用 默认 路 由 不 但 能 够 实现 与 静态 路 由 
同样 的 效果 ， 而 且 还 能 够 减少 配置 量 。 在 R3 上 可 以 进行 同样 的 配置 。 
ER3jiproute-static 0.0.0.0 0 Serial 0/0/1 
[R3]undo ip route-static 10.0.12.0 255.255.255.0 Serial 0/0/1 
[R3Jjundo ip route-static 192.168.10.0 255.255.255.0 Serial 0/0/1 


再 次 测试 主机 PC-1 与 PC-2 间 的 通信 。 
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PC>ping 192.168.20.20 
Ping 192.168.20.20: 32 data bytes, Press Ctrl_C to break 
From 192.168.20.20: bytes=32 seq=]1 ttl=125 time=78 ms 
From 192.168.20.20: bytes=32 seq=2 ttl=125 time=62 ms 
From 192.168.20.20: bytes=32 seq=3 ttl=125 time=47 ms 
From 192.168.20.20: bytes=32 seq=4 ttl=125 time=78 ms 
From 192.168.20.20: bytes=32 seq=5 ttl=125 time=62 ms 
--- 192.168.20.20 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 47/65/78 ms 


主机 PC-1 与 PC-2 间 的 通信 正常 。 


a aa we ae 
作 可 以 避免 网 络 出 现 通信 中 断 ， 即 要 在 配置 过 程 当 中 注意 操作 的 规范 性 与 合理 性 。 


思考 


在 静态 路 由 配置 当中 ,可 以 采取 指定 下 一 跳 IP 地 址 的 方式 , 也 可 以 采取 指定 出 接口 
的 方式 ， 这 两 种 方式 存在 着 什么 区 别 ? 


6.2 浮动 静态 路 由 及 负载 均衡 


原理 概述 


浮动 静态 路 由 (Floating Static Route) 是 一 种 特殊 的 静态 路 由 ， 通 过 配置 去 往 相 同 的 
目的 网 段 ， 但 优先 级 不 同 的 静态 路 由 ， 以 保证 在 网 络 中 优先 级 较 高 的 路 由 ， 即 主 路 由 失 
效 的 情况 下 ， 提 供 备份 路 由 。 正 常情 况 下 ， 备 份 路 由 不 会 出 现在 路 由 表 中 。 

负载 均衡 〈Load sharing)， 当 数据 有 多 条 可 选 路 径 前 往 同 一 目的 网 络 ， 可 以 通过 配 
置 相同 优先 级 和 开销 的 静态 路 由 实现 负载 均 衔 ， 使 得 数据 的 传输 均衡 地 分 配 到 多 条 路 径 
上 ， 从 而 实现 数据 分 流 、 减 轻 单条 路 径 负 载 过 重 的 效果 。 而 当 其 中 某 一 条 路 径 失效 时 ， 
其 他 路 径 仍然 能 够 正常 传输 数据 ， 也 起 到 了 宛 余 作用 。 


实验 目的 


。 理解 浮动 静态 路 由 的 应 用 场景 
。 掌握 配置 浮动 静态 路 由 的 方法 
。 掌握 测试 浮动 静态 路 由 的 方法 
。 掌握 配置 静态 路 由 负载 均衡 的 方法 
。 掌握 测试 静态 路 由 负载 均衡 的 方法 


实验 内 容 
R2 为 某 公 司 总 部 ，R1 与 R3 是 两 个 分 部 ， 主 机 PC-1 与 PC-2 所 在 的 网 段 分 别 模拟 
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两 个 分 部 中 的 办 公 网 络 。 现 需要 总 部 与 各 个 分 部 、 分 部 与 分 部 之 间 都 能 够 通信 ， 且 分 部 
之 间 在 通信 时 ， 之 间 的 直 连 链 路 为 主 用 链 路 ， 通 过 总 部 的 链 路 为 备用 链 路 。 本 实验 使 用 
浮动 静态 路 由 实现 需求 ， 并 再 根据 实际 需求 实现 负载 均衡 来 优化 网 络 。 


实验 拓扑 
浮动 静态 路 由 及 负载 均衡 的 拓扑 如 图 6-3 所 示 。 





Serial 1000w R2 “、wSerial 1/0/1 
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0:0.12.024 % Ww 
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Serial 1/0/0,¢ \a Serial 1/0/0 
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GE 0/0/0 





Ethernet 0/0/1 Ethernet 0/0/1 











PC-1l PC-2 
公司 分 部 A 司 分 
图 6-3 浮动 静态 路 由 及 负载 均衡 拓扑 
实验 编 址 
实验 编 址 见 表 0-2。 
表 6-2 实验 编 址 


可 CE 
RI CAR2220) NA 
R2 (AR2220) 


NA 

R3 CAR2220) NA 
NA 

PC [92.168.201 


Serial 1/0/] 10.0.23.2 255.255.255.0 N/A 
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实验 步 又 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 


<R1l>ping -c 1 10.0.12.2 
PING 10.1.12.2: 56 data bytes, press CTRL_C to break 
Reply from 10.0.12.2: bytes=56 Sequence=] ttl=255 time=510 ms 
-—- 10.0.12.2 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 510/510/510 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2. 实现 两 分 部 间 、 总 部 与 两 分 部 间 的 通信 

在 R1 上 配置 目的 网 段 为 主机 PC-2 所 在 网 段 的 静态 路 由 ， 在 R3 上 配置 目的 网 段 为 
主机 PC-1 所 在 网 段 的 静态 路 由 , 在 R2 上 配置 目的 网 段 分 别 为 主机 PC-1 和 PC-2 所 在 网 
段 的 静态 路 由 。 


Rijip route-static 192.168.20.0 24 10.0.13.3 


[R21]ip route-static 192.168.20.0 24 10.0.23.3 
[R2]ip route-static 192.168.10.0 24 10.0.12.1 


[R3]ip route-static 192.168.10.0 24 10.0.13.1 
配置 完成 后 ， 在 R1 上 查看 路 由 表 。 
[Rll]display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.13.0/24 Direct 0 0 D ID03] Seriall/0/1 
10.0.13.1/32 Direct 0 0 D 127.0.0.1 Seriall/0/1 
10.0.13.3/32 Direct 0 0 D 10.0.13.3 Seriall/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.l InLoopBack0 
127.0.0.1/32 Direct 0 0 Dr 127.0:0] InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet0/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.20.0/24 Static 60 0 RD 10.0.13.3 Seriall/0/1 


可 以 观察 到 ， 在 R1 的 路 由 表 中 存在 以 主机 PC-2 所 在 网 段 为 目的 网 段 的 路 由 条 目 ， 
且 下 一 跳 路 由 器 为 R3。 

测试 主机 PC-1 与 主机 PC-2 之 间 的 连通 性 。 

PC>ping 192.168.20.20 

Ping 192.168.20.20; 32 data bytes, Press CtrlL_C to break 

From 192.168.20.20: bytes=32 seg=] ttl=126 time=31 ms 

From 192.168.20.20: bytes=32 seq=2 ttl=126 time=32 ms 

From 192.168,20.20: bytes=32 seq=3 ttl=126 time=31 ms 

From 192.168.20.20: bytes=32 seq=4 ttl=126 time=62 ms 


From 192.168,20.20: bytes=32 seq=5 ttl=126 time=47 ms 
—- 192.168.20,20 ping statistics --- 
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5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 31/40/62 ms 
通信 正常 ， 这 时 可 以 通过 在 主机 PC-1 上 使 用 tracert 命令 测试 所 经 过 的 网 关 。 
PC>tracert 192.168.20.20 
traceroute to 192.168.20.20, 8 hops max 
(ICMP), press Ctrl+C to stop 
1 192.168.10.1 16ms 15ms 16ms 
2 10.0.13.3 47ms 15ms 3l1ms 
3 192.168.20.20 47ms 47ms 16ms 


通过 观察 发 现 数据 包 是 经 过 Rl 和 R3 到 达 主机 PC-2 的 。 
同样 在 主机 PC-2 和 R3 上 进行 查看 ， 首 先 在 R3 上 查看 路 由 表 。 
[R3]display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 11 Routes : 11 
Destination/Mask Proto Pre Cost Flags NextHop Interface 

10.0.13.0/24 Direct 0 0 De 10:0,13.3 Seriall/0/1 
10.0.13.1/32 Direct 0 0 B00331 Seriall/0/1 
10.0.13.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/1 
10.0.23.0/24 Direct 0 0 Doe1L00233 Seriall/0/0 
10.0.23.2/32 Direct 0 0 B100323 迟 Seriall/0/0 
10.0.23.3/32 Direct 0 0 D1270.0.1 Seriall/0/0 
127.0.0.0/8 Direct 0 0 De 12700 InLoopBack0 
127.0.0.1/32 Direct 0 0 I 270.0.] InLoopBack0 
192.168.10.0/24 Static 60 0 RD 10.0,13.1 Serial0/0/]1 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 GigabitEthemet0/0/0 
192.168.20.1/32 Direct 0 0 BMRA0:0d GigabitEthernet0/0/0 


在 R3 的 路 由 表 中 存在 以 主机 PC-1 所 在 网 段 为 目的 网 段 的 路 由 条 目 , 且 下 一 跳 路 由 
器 为 Rl。 
在 主机 PC-2 上 测试 与 主机 PC-1 的 连通 性 。 
PC>ping 192.168.10.10 
Ping 192.168.10.10: 32 data bytes, Press Ctrl C to break 
From 192.168.10.10: bytes=32 seq=] ttl=126 time=32 ms 
From 192.168,10.10: bytes=32 seq=2 ttl=126 time=3] ms 
From 192.168.10.10: bytes=32 seq=3 ttl=126 time=46 ms 
From 192.168.10.10: bytes=32 seq=4 ttl=126 time=31 ms 
From 192.168.10.10: bytes=32 seq=5 ttl=126 time=16 ms 
-一 192.168.10.10 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 16/31/46 ms 


可 以 观察 到 通信 正常 。 在 主机 PC-2 上 测试 访问 主机 PC-1 所 经 过 的 网 关 。 
PC>tracert 192.168.10.10 
traceroute to 192.168.10.10, 8 hops max 


(ICMP), press Ctrl+C to stop 
1 192.168.20.1 16ms <lms 15ms 
2 10.0.13.1 47ms 16ms 31ms 


3 192.168.10.10 3lms 31lms 16ms 
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可 以 验证 数据 包 是 经 过 R3 和 RI1 到 达 主机 PC-1 的 。 
在 总 部 路 由 器 R2 上 测试 与 分 部 的 连通 性 。 
[R2]ping 192.168.10.10 
PING 192.168.10.10: 56 data bytes, press CTRL C to break 
Reply from 192.168.10.10: bytes=56 Sequence=] ttl=127 time=50 ms 
Reply from 192.168.10.10: bytes=56 Sequence=2 ttl=127 time=40 ms 
Reply from 192.168.10.10: bytes=56 Sequence=3 ttl=127 time=30 ms 
Reply from 192.168.10.10: bytes=56 Sequence=4 ttl=127 time=50 ms 
Reply from 192.168.10.10: bytes=56 Sequence=5 ttl=127 time=60 ms 
--- 192.168.10.10 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 30/46/60 ms 


[R2]ping 192.168.20.20 
PING 192.168.20.20: 56 data bytes, press CTRL C to break 
Reply from 192.168.20.20: bytes=56 Sequence=] ttl=127 time=40 ms 
Reply from 192.168.20.20: bytes=56 Sequence=2 ttl=127 time=40 ms 
Reply from 192.168.20.20: bytes=56 Sequence=3 ttl=127 time=50 ms 
Reply from 192.168.20.20: bytes=56 Sequence=4 ttl=127 time=40 ms 
Reply from 192.168.20.20: bytes=56 Sequence=5 ttl=127 time=10 ms 
-- 192.168.20.20 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
”0.00% packet loss 
round-trip min/avg/max = 10/36/50 ms 
通过 测试 ， 总 部 路 由 器 R2 能 够 正常 访问 两 个 分 部 主机 PC-1 和 主机 PC-2 的 网 络 。 
3. 配置 浮动 静态 路 由 实现 路 由 备份 
通过 上 一 步骤 的 配置 , 现在 网 络 搭建 已 经 初步 完成 。 现 需要 实现 当 两 分 部 间 通 信 时 ， 
直 连 链 路 为 主 用 链 路 ， 通 过 总 部 的 链 路 为 备用 链 路 ， 即 当主 用 链 路 发 生 故 障 时 ， 可 以 使 
用 备用 链 路 保障 两 分 部 网 络 间 的 通信 。 这 里 使 用 浮动 静态 路 由 实现 网 络 元 余 。 
在 R1 上 配置 静态 路 由 ， 目 的 网 段 为 主机 PC-2 所 在 网 段 ， 掩 码 为 24 位 ， 下 一 跳 为 
R2， 将 路 由 优先 级 设置 为 100〈 默 认 是 60)。 


[RI1l]ip route-static 192.168.20.0 24 10.0.12.2 preference 100 
配置 完成 后 ， 查 看 路 由 器 R1 的 路 由 表 。 
[Rlldisplay ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 12 Routes : 12 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D10012l Seriall/0/0 
10.0.12,1/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
10.0.12.2/32 Direct 0 0 D00u22 Seriall/0/0 
10.0.13.0/24 Direct 0 0 D 10.0.13.1 Seriall/0/1 
10.0.13.1/32 Direct 0 0 D127.0:0W Seriall/0/] 
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10.0.13.3/32 Direct 0 0 D, 100:133 Seriall/0/1 
10.0.23.0/24 Static 60 0 RD 10.0.12.2 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D127:0.0.] InLoopBack0 
127.0,0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet0/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.20.0/24 Static 60 0 RD 10.0.13.3 Serial0/0/1 


发 现 路 由 表 此 时 没有 发 生 任何 变化 ， 使 用 display ip routing-table protocol static 命 
令 仅 查看 静态 路 由 的 路 由 信息 。 
[Rlldisplay ip routing-table protocol static 


Route Flags: R -relay, D - download to fib 


Public routing table : Static 


Destinations : 1 Routes :2 Configured Routes : 2 
Static routing table status :<Active> 
Destinations : 1 Routes : 1 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.20.0/24 Static 60 0 RD 10.0.13.3 Seriall/0/1 
Static routing table status : <Inactive> 
Destinations : 1 Routes : 1 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.20.0/24 Static 100 0 R 10.0.12.2 Seriall/0/0 
可 以 观察 到 目的 地 址 为 PC-2 所 在 网 段 的 两 条 优先 级 为 100 和 60 的 静态 路 由 条 目 都 


已 经 存在 。 

现在 R1 上 去 往 相 同 的 目的 网 段 存在 有 两 条 不 同 路 由 条 目 ， 首 先 会 比较 它们 的 优先 
级 ， 优 先 级 高 的 ， 即 对 应 的 优先 级 数值 较 小 的 路 由 条 目 将 被 选 为 主 用 路 由 。 通 过 比较 ， 
优先 级 数值 为 60 的 条 目 优 先 级 更 高 ， 将 被 R1 使 用 ， 放 入 路 由 表 中 ， 状 态 为 Active; 而 
另 一 条 路 由 状态 则 为 Inactive， 作 为 备份 ， 不 会 被 放 入 路 由 表 。 只 有 当 Active 的 路 由 条 
目 失效 时 ， 优 先 级 为 100 的 路 由 条 目 才 会 被 放 入 路 由 表 。 

在 R3 上 做 和 Rl 同样 的 对 称 配 置 。 

[R3]ip route-static 192.168.10.0 24 10.0.23.2 preference 100 

接 下 来 ， 将 路 由 器 Rl 的 S 1/0/1 接口 关闭 ， 验 证 使 用 备份 链 路 。 


[Rllinterface serial 1/0/1 
[R1-Seriall/0/1lshutdown 


配置 完成 后 , 查看 路 由 器 Rl 的 路 由 表 , 并 使 用 display ip routing-table protocol static 
命令 查看 。 


[Rljdisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 





Destinations : 9 Routes :9 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10:0.12.1 Serial1/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
10.0.12.2/32 Direct 0 0 DOl22 Seriall/0/0 
10.0.23.0/24 Static 60 0 RD 10.0.12.2 Seriall/0/0 
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127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 

127.0.0.1/32 了 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthemet0/0/0 
192.168.10.1/32 Direct 0 0 D270:0u GigabitEthemet0/0/0 
192.168.20.0/24 Static 100 0 RD 10.0.12.2 Serial1/0/0 


可 以 观察 到 ， 此 时 优先 级 为 100 的 路 由 条 目 己 经 添加 到 路 由 表 中 。 


[Rl]display ip routing-table protocol static 
Route Flags: R - relay, D - download to fib 


Public routing table : Static 


Destinations : I Routes :2 Configured Routes : 2 
Static routing table status : <Active> 

Destinations : 1 Routes : ] 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.20.0/24 Static 100 0 RD 10.0.12.2 Seriall/0/0 
Static routing table status : <Inactive> 

Destinations : 1 Routes :1 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.20.0/24 Static 60 0 10.0.13.3 Unknown 


可 以 观察 到 ,现在 优先 级 为 100 的 条 目 为 Active 状态 ,优先 级 为 60 的 条 目 为 Inactive 
状态 。 
测试 主机 PC-1 与 PC-2 间 的 通信 。 
PC>ping 192.168.20.20 
Ping 192.168.20.20: 32 data bytes, Press Ctrl_C to break 
From 192.168.20.20: bytes=32 seq=l ttl=125 time=63 ms 
From 192.168.20.20: bytes=32 seq=2 ttl=125 time=31 ms 
From 192.168.20.20: bytes=32 seq=3 ttl=125 time=47 ms 
From 192.168.20.20: bytes=32 seq=4 ttl=125 time=46 ms 
From 192.168.20.20: bytes=32 seq=5 ttl=125 time=62 ms 
--- 192.168.20.20 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 31/49/63 ms 
通信 正常 ， 再 使 用 tracert 命令 查看 此 时 PC-1 与 PC-2 通信 时 所 经 过 的 网 关 。 
PC>tracert 192.168.20.20 
traceroute to 192.168.20.20, 8 hops max 
(ICMP), press Ctrl+C to stop 
1] 192.168.10.1 <lms <lms 31ms 
2 10.0.12.2 32ms 31ms 15ms 
3 10.0.23.3 62ms 47ms 47ms 
4 192.168.20.20 62ms 47ms 31ms 


再 次 验证 了 此 时 两 分 部 之 间 通 信 时 已 经 使 用 了 备用 链 路 。 

4. 通过 负载 均衡 实现 网 络 优化 

公司 网 络 管理 员 发 现 分 部 之 间 业 务 往来 越 来 越 多 ， 网 络 流量 剧 增 ， 主 用 链 路 压 
力 非 常 大 ， 而 总 部 与 两 分 部 间 的 网 络 流量 相对 较 少 ， 即 备用 链 路 上 的 带宽 多 处 在 闲 
置 状 态 。 此 时 可 以 通过 配置 实现 负载 均衡 ， 即 同时 利用 主 备 两 条 链 路 来 支撑 两 分 部 
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间 的 通信 。 
恢复 Rl1 上 的 S.1/0/1 接口 ， 并 配置 目的 网 段 为 主机 PC-2 所 在 网 段 ， 掩 码 为 24 位 ， 
下 一 跳 为 R2， 优 先 级 不 变 。 
区 1]interface serial 1/0/1 
[R1-Seriall/0/1]undo shutdown 
[R1-Seriall/0/1]ip route-static 192.168.20.0 24 10.0.12.2 
使 用 display ip routing-table 命令 查看 R1 上 的 路 由 表 。 
[Rlldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 12 Routes : 13 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 D10,082.1 Seriall/0/0 
10.0.12.1/32 Direct 0 127.0.0.1 Seriall/0/0 
10.0.12.2/32 Direct 0 10.0.12.2 Seriall/0/0 
0 10.0.13.1 Seriall/0/1 
0 127.0.0.1 Seriall/0/1 
0 10.0.13.3 Seriall/0/1 
10.0.12.2 Seriall/0/0 
127.0.0.1 InLoopBack0 
127.0.0.1 InLoopBack0 
192.168.10.1 GigabitEthernet0/0/0 
192.168.10.1/32 Direct 0 127.0.0.1 GigabitEthernet0/0/0 
192.168.20.0/24 Static 60 10.0.13,3 Seriall/0/1 
Static 60 0 RD 10.0.12.2 Seriall/0/0 
配置 完成 后 ， 可 以 观察 到 现在 去 往 192.168.20.0 网 段 拥 有 两 条 下 一 跳 不 同 的 路 由 条 
目 ， 即 实现 了 负载 均衡 。 
测试 主机 PC-1 与 PC-2 间 的 通信 。 
PC>ping 192.168.20.20 
Ping 192.168.20.20: 32 data bytes, Press Ctrl_C to break 
From 192.168.20.20: bytes=32 seq=l ttl=126 time=31 ms 
From 192.168.20.20: bytes=32 seq=2 ttl=126 time=31 ms 
From 192.168,20.20: bytes=32 seq=3 ttl=126 time=32 ms 
From 192.168.20.20: bytes=32 seq=4 ttl=126 time=47 ms 
From 192.168.20.20: bytes=32 seq=5 ttl=126 time=31 ms 
--- 192.168.20.20 ping statistics -~- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 31/34/47 ms 
可 以 观察 到 ， 通 信和 正常 。 
在 R3 上 做 和 RIl 同样 的 对 称 配置 。 
[R3]ip route-static 192.168.10.0 24 10.0.23.2 
配置 完成 后 ， 能 够 在 R3 的 路 由 表 中 观察 到 与 R1 路 由 表 相 同 的 情况 。 
通过 配置 针对 相同 目的 地 址 但 优先 级 值 不 同 的 静态 路 由 ， 可 以 在 路 由 器 上 实现 路 径 
备份 的 功能 。 而 通过 配置 针对 相同 目的 地 址 且 优 先 级 值 相同 的 静态 路 由 ， 不 仅 互 为 备份 


0 
0 
0 
10.0.13.0/24 Direct 0 
10.0.13.1/32 Direct 0 
10.0.13.3/32 Direct 0 
10.0.23.0/24 Static 60 0 
127.0.0.0/8 Direct 0 0 
127.0.0.1/32 Direct 0 0 
192.168.10.0/24 Direct 0 0 
0 
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还 能 实现 负载 均衡 。 
思考 


在 本 实验 的 步骤 3 和 步骤 4 中 , 如 果 不 在 R3 上 做 和 R1 同样 的 对 称 配置 , 会 产生 什 
么 样 的 现象 ? 为 什么 ? 

完成 负载 均衡 的 配置 之 后 , 可 以 在 Rl1 上 的 S$ 1/0/0 和 S 1/0/1 两 个 接口 上 启用 抓 包工 
有 具 ， 且 在 主机 PC-1 上 ping 主机 PC-2， 观 察 R1 的 两 个 接口 上 的 现象 ， 解 释 为 什么 会 产 
生 这 样 的 现象 。 
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7.1 RIP 路 由 协议 基本 配置 


原理 概述 


RIP (Routing Information Protocol， 路 由 协议 ) 作为 最 早 的 距离 矢量 卫 路 由 协议 ， 
也 是 最 先 得 到 广泛 使 用 的 一 种 路 由 协议 ， 采 用 了 Bellman-Ford 算法 ， 其 最 大 的 特点 就 是 
配置 简单 。 

RIP 协议 要 求 网 络 中 每 一 台 路 由 器 都 要 维护 从 自身 到 每 一 个 目的 网 络 的 路 由 信息 。RIP 
协议 使 用 跳 数 来 衡量 网 络 间 的 “距离 ” 从 一 人 台 路 由 器 到 其 直 连 网 络 的 跳 数 定义 为 1， 从 一 
台 路 由 器 到 其 非 直 连 网 络 的 距离 定义 为 每 经 过 一 个 路 由 器 则 距离 加 1。“ 距 离 ” 也 称 为 “ 跳 数 ”。 
RIP 允许 路 由 的 最 大 跳 数 为 13， 因此 ，16 即 为 不 可 达 。 可 见 RIP 协议 只 适用 于 小 型 网 络 。 

目前 RIP 有 两 个 版 本 ，RIPv1 和 RIPv2，RIPv2 针对 RIPv1 进行 扩充 ， 能 够 携带 更 
多 的 信息 量 ， 并 增强 了 安全 性 能 。RIPv1 和 RIPv2 都 是 基于 UDP 的 协议 ， 使 用 UDP520 
号 端口 收发 数据 包 。 


实验 内 容 


某 小 型 公司 组 网 拓扑 很 简单 ， 只 拥有 两 台 路 由 器 ， 因 此 可 以 采用 RIP 路 由 协议 来 完 
成 网 络 的 部 署 。 本 实验 通过 模拟 简单 的 企业 网 络 场景 来 描述 RIP 路 由 协议 的 基本 配置 ， 
并 介绍 一 些 基 本 的 查看 RIP 信息 的 命令 使 用 方法 。 


实验 目的 


e 理解 RIP 的 应 用 场景 

e 理解 RIP 的 基本 原理 

。 掌握 RIPvl 的 基本 配置 

e 掌握 RIPv2 的 基本 配置 

e 掌握 测试 RIP 路 由 网 络 的 连通 性 的 方法 
。 掌握 使 用 display 与 debug 命令 测试 RIP 
。 了 了解 RIPV1 与 RIPV2 的 区 别 


实验 拓扑 
RIP 路 由 协议 基本 配置 的 拓扑 如 图 7-1 所 示 。 


Ethernet 0/0/0 
(Loopback 0 T0011724 Loopback 0: 10.0,2,2/24 


Ethernet 0/0/0 
RI1 R2 


图 7-1 RIP 路 由 协议 基本 配置 拓扑 


实验 编 址 
实验 编 址 见 表 7-1。 
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表 7-1 实验 编 址 
子 网 接 码 
10.0.12.1 255.255.255.0 


R1 (AR1220) 


Loopback0 | 10.01.1 | 255.255.255.0 
E 0/0/0 10.0.12.2 255.255.255.0 


Loopback 0 10.0.2.2 255.233:255.0 


R2 (AR1220) 


N/A 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 直 连 链 路 的 连通 性 。 
[Rljping -c¢ 1 10.0.12.2 
PING 10.0.12.2: 56 data bytes, press CTRL C to break 
Reply from 10.0.12.2: bytes=56 Sequence=] ttl=255 time=50 ms 
— 10.0.12.2 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 50/50/50 ms 


2. 使 用 RIPV1 搭建 网 络 

在 公司 两 台 路 由 器 Rl1 和 R2 上 配置 RIP v1。 使 用 rip 命令 创建 并 开启 协议 进程 ， 默 
认 情 况 下 进程 号 是 1。 使 用 network 命令 对 指定 网 段 接 口 使 能 RIP 功能 ， 注 意 必须 是 自 
然 网 段 的 地 址 。 


[Rllrip 
[Rl1-rip-l]network 10.0.0.0 


[R2]rip 

[R2-rip-l lnetwork 10.0.0.0 

配置 完成 后 ， 使 用 display ip routing-table 命令 查看 R1、R2 的 路 由 表 。 
[R1ldisplay ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations ; 7 Routes :7 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.1.0/24 Direct 0 0 D 10.0.1.1 LoopBack0 
10.0.1.1/32 Direct 0 0 D 127.0.0,1 LoopBack0 
10.0.2.0/24 RIP 100 1 D 10.0.12.2 Ethemet0/0/0 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 Ethemet0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 Ethernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 JnLoopBack0 
[R2]display ip routing-table 


Route Flags: R - relay, D - download to fib 


2 


Routing Tables: Public 
Destinations :7 Routes ; 7 
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Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.1.0/24 RIP 100 1 D 10.0.12.1 Ethernet0/0/0 
10.0.2.0/24 Direct 0 0 D 10.0.2.2 LoopBack0 
10.0.2.2/32 Direct 0 0 D 127.0.0.1 LoopBack0 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 Ethernet0/0/0 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 Ethemet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
可 以 观察 到 ， 两 台 路 由 器 已 经 通过 RIP 协议 学 习 到 了 对 方 环 回 接口 所 在 网 段 的 路 由 
条 目 。 
测试 Rl1 与 R2 环 回 接口 间 的 连通 性 。 
[Rllping 10.0.2.2 


PING 10.0.2.2: 56 data bytes, press CTRL C to break 
Reply from 10.0.2.2: bytes=56 Sequence=] ttl=255 time=l ms 
Reply from 10.0.2.2: bytes=56 Sequence=2 ttl=255 time=10 ms 
Reply from 10.0.2.2: bytes=56 Sequence=3 ttl=255 time=10 ms 
Reply from 10.0.2.2: bytes=56 Sequence=4 ttl=255 time=20 ms 
Reply from 10.0.2.2: bytes=56 Sequence=5 ttl=255 time=10 ms 

--- 10.0.2.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 1/10/20 ms 


可 以 观察 到 通信 正常 。 

使 用 debuging 命令 查看 RIP 协议 定期 更 新 情况 ， 并 开启 RIP 调试 功能 。 请 注意 ， 
debug 命令 需要 在 用 户 视图 下 才能 使 用 。 使 用 terminal debugging 和 terminal monitor 
命令 开启 debug 信息 在 屏幕 上 显示 的 功能 ， 才 能 在 电脑 屏幕 上 看 到 路 由 器 之 间 RIP 协议 
交互 的 信息 。 


<Rl>debugging rip 1 
<Rl>terminal debugpging 
Info: Current terminal debugging is on. 
<Rl1>terminal monitor 
Info: Current terminal monitor is on. 
<R1> 
Dec 7 2012 11:20:22.530.1-08:00 R1 RIP/7/DBG: 6: 12176: RIP 1: Sending v1 response on Ethernet0/0/0 from 10.0.12.1 
with ] RTE 
Dec 72012 11:20:22.530.2-08:00 R1 RIP/7/DBG: 6: 12227: RIP 1: Sending response 
on interface Ethernet0/0/0 from 10.0.12.1 to 255.255.255.255 
Dec 72012 11:20:22.530.3-08:00 R1 RIP/7/DBG: 6: 12247: Packet: Version 1, Cmd response, Length 24 
Dec 72012 11:20:22.530.4-08:00 Rl RIP/7/DBG: 6: 12296: Dest 10.0.1.0, Cost 1 
Dec 72012 11:20:24.510.1-08:00 R1 RIP/7/DBG: 6: 12185: RIP 1: Receiving v1 response on Ethemet0/0/0 from 10.0.12.2 
with 1 RTE 
Dec 72012 11:20:24.510.2-08:00 Rl RIP/7/DBG: 6: 12236: RIP 1: Receive response 
from 10.0.12.2 on Ethernet0/0/0 
Dec 72012 11:20:24.510.3-08:00 Rl1 RIP/7/DBG: 6: 12247: Packet: Version 1, Cmd response, Length 24 
Dec 7201211:20:24.510.4-08:00 Rl RIP/7/DBG: 6: 12296: Dest 10.0.2.0, Cost 1 


可 以 观察 到 R1 从 连接 R2 的 EE 0/0/0 接口 周期 性 发 送 、 接 收 vl 的 Response 更 新 报 
文 ， 包 括 目的 地 、 数 据 包 大 小 以 及 cost 值 。 


可 以 使 用 undo debuging rip 或 者 undo debug all 命令 关闭 debug 调试 功能 。 
<Rl>undo debugging rip 1 
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也 可 以 使 用 带 更 多 参数 的 命令 查看 某 类 型 的 调试 信息 , 如 debuging rip 1 event 查看 
路 由 器 发 出 和 收 到 的 定期 更 新 事件 。 其 他 参数 可 以 使 用 “? ”获取 帮助 。 


<R1>debugging rip 1 event 

Dec 7 2012 11:21:18.690.1-08:00 R1 RIP/7/DBG: 25: 4379: RIP 1: Periodic timer expired for interface Ethernet0/0/0 
(10.0.12.1) and its added to periodic update 

queue 

Dec 7201211:21:18.690.2-08:00 Rl1 RIP/7/DBG: 25: 4707: RIP 1; Interface Ethern 

et0/0/0 (10.0.12.1) is deleted from the periodic update queue 

<R1l>undo debugging all 

了 All possible debugging has been turned off. 


Es ~ 开启 过 多 的 debug 功能 会 耗费 大 量 路 由 器 资源 ， 甚 至 可 能 导致 宕 机 。 请 慎重 使 用 
po debug 功能 的 命令 ， 如 debug all. 
3. 使 用 RIPV2 搭建 网 络 


基于 前 面 的 配置 ， 现 在 只 需 在 RIP 子 视图 模式 下 配置 v2 即 可 。 


[RIlrip 
[Rl-rip-l]version 2 


[R2jrip 
[R2-rip-l]version 2 


配置 完成 后 使 用 display ip routing-table 命令 查看 各 路 由 器 路 由 表 。 
[Rl]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 








Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.1.0/24 Direct 0 0 D 10.0.1,1 LoopBack0 
10.0.1.1/32 Direct 0 0 D 127.0.0.1 LoopBack0 
10.0.2.0/24 RIP 100 ] D 10.0.12.2 Ethernet0/0/0 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 Ethernet0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 Ethermet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 JInLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
ER2]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 

Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.1.0/24 RIP 100 1 D 10.0.12.1 Ethernet0/0/0 
10.0.2.0/24 Direct 0 0 D 10.0.2.2 LoopBack0 
10.0.2.2/32 Direct 0 0 D 127.0.0.1 LoopBack0 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 Ethernet0/0/0 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 Ethernet0/0/0 
127.0.0.0/8 Direct 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 两 全 路 由 器 已 经 通过 RIP 协议 学 习 到 了 对 方 环 回 接口 所 在 网 段 的 路 由 条 目 。 
配置 完成 后 ， 使 用 ping 命令 检测 R1 与 R2 之 间 直 连 链 路 的 卫 连通 性 。 


[Rllping 10.0.2.2 
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PING 10.0.2.2: 56 data bytes, press CTRL C to break 

Reply from 10.0.2.2: bytes=56 Sequence=l ttl=255 time=50 ms 

Reply from 10.0.2.2: bytes=56 Sequence=2 ttl=255 time=10 ms 

Reply from 10.0.2.2: bytes=56 Sequence=3 ttl=255 time=40 ms 

Reply from 10.0.2.2: bytes=56 Sequence=4 ttl=255 time=30 ms 

Reply from 10.0.2.2; bytes=56 Sequence=5 ttl=255 time=10 ms 

--- 10.0.2.2 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 10/28/50 ms 
可 以 观察 到 通信 正常 。 
使 用 debuging 命令 查看 RIPV2 协议 定期 更 新 情况 。 
<Rl>debugging rip 1 
Dec 72012 11:37:47.620.3-08:00 R1 RIP/7/DBG: 6: 12247: Packet: Version 2, Cmd 
response, Length 24 
Dec 72012 11:37:47.620.4-08:00 R1 RIP/7/DBG: 6: 12315: Dest 10.0.2.0/24, Nexth 
op 0.0.0.0, Cost 1, Tag 0 
Dec 72012 11:37:48.470.1-08:00 R1 RIP/7/DBG: 6: 12176: RIP 1: Sending v2 respo 
nse on Ethernet0/0/0 from 10.0.12.1 with 2 RTEs 
Dec 72012 11:37:48.470.2-08:00 Rl1 RIP/7/DBG: 6: 12227: RIP 1: Sending response 

on interface Ethernet0/0/0 from 10.0.12.1 to 224.0.0.9 

<R1>undo debugging rip 1 


与 RIPvV1 中 使 用 debuging 命令 所 查看 的 信息 进行 对 比 ， 可 以 明显 区 分 出 RIPv1 和 
RIPv2 的 不 同 ; 

国 RIPV2 的 路 由 信息 中 携带 了 子 网 掩 码 ; 

国 RIPV2 的 路 由 信息 中 携带 了 下 一 跳 地 址 ， 标 识 一 个 比 通告 路 由 器 的 地 址 更 好 的 下 
一 跳 地 址 。 换 名 话说 ， 它 指出 的 地 址 ， 其 度量 值 〈 跳 数 ) 比 在 同一 个 子 网 上 的 通告 路 由 
器 更 靠近 目的 地 。 如 果 这 个 字段 设置 为 全 0 (0.0.0.0)， 说 明 通 告 路 由 器 的 地 址 是 最 优 的 
下 一 跳 地 址 ; 

国 RIPv2 默认 采用 组 播 方式 发 送 报 文 ， 地 址 为 224.0.0.9。 


7.2 配置 RIPv2 的 认证 


原理 概述 


配置 协议 的 认证 可 以 降低 设备 接受 非法 路 由 选择 更 新 消息 的 可 能 性 ， 也 可 称 为 
“验证 ”。 非 法 的 更 新 消息 可 能 来 自 试 图 破坏 网 络 的 攻击 者 ， 或 试图 通过 欺骗 路 由 
器 发 送 数据 到 错误 的 目的 地 址 的 方法 来 捕获 数据 包 。RIPv2 协议 能 够 通过 更 新 消息 
所 包含 的 口令 来 验证 某 个 路 由 选择 消息 源 的 合法 性 , 有 简单 和 MD5 密 文 两 种 验证 
Di 

简单 验证 是 指 在 认证 的 消息 当中 所 携带 的 认证 口令 是 以 明文 传输 的 ， 可 以 通过 抓 包 
软件 抓 取 到 数据 包 中 的 密码 。 

MD5 密 文 验证 是 一 种 单 向 消息 摘要 (message digest) 算法 或 安全 散 列 函数 (secure 
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hash function)， 由 RSA Date Security,Inc 提出 。 有 时 MD5 也 被 作为 一 个 加 密 校 验 和 
(cryptographic checksum )。MD5 算法 是 通过 一 个 随意 长 度 的 明文 消息 (例如 , 一 个 RIPV2 
的 更 新 消息 ) 和 口令 计算 出 一 个 128 位 的 hash 值 。hash 值 类 似 “ 指 纹 ”， 这 个 “指纹 ” 
随同 消息 一 起 传送 , 拥有 相同 口令 的 接收 者 会 计算 它 自己 的 hash 值 ， 如 果 消 息 的 内 容 没 
有 被 更 改 ， 接 收 者 的 hash 值 应 该 和 消息 发 送 者 的 hash 值 相 匹 配 。 


实验 目的 


e 理解 配置 RIPv2 认证 的 场景 和 意义 

e 掌握 配置 RIPv2 简单 验证 的 方法 

。 掌握 测试 RIPv2 简单 验证 的 配置 结果 的 方法 

e 掌握 配置 RIPv2 MD5 密 文 验证 的 方法 

。 掌握 测试 RIPv2 MD5 密 文 验证 配置 结果 的 方法 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。 某 公司 有 两 台 路 由 器 R1 与 R2， 各 自 连接 着 一 台 主 机 ， 
并 且 Rl1 和 R2 之 间 配 置 RIPv2 协议 学 习 路 由 条 目 。R3 模拟 作为 网 络 中 的 攻击 者 ， 窃 取 
R1 与 R2 间 的 路 由 信息 , 并 发 布 了 一 些 虚假 路 由 , 使 Rl1 和 R2 的 相关 路 由 的 选 路 指向 了 
R3， 形 成 了 路 由 欺骗 。 为 了 避免 遭受 攻击 ， 提 高 网 络 安全 性 ， 网 络 管理 员 将 配置 RIPV2 
实验 拓扑 

配置 RIPv2 的 认证 拓扑 如 图 7-2 所 示 。 






Ethernet 0/0/3 
Ethernet 0/0/1 二 


4 Ethernet 0/0/2 
一 GE 0/0/1 


SWI R2 









Ethernet 0/0/1 Ethernet 0/0/1 








PC-1 PC-2 
图 7-2 ”配置 RIPv2 的 认证 拓扑 
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实验 编 址 


实验 编 址 见 表 7-2。 
表 7-2 实验 编 址 


设备 | 接口。 | ”IP 地址 | 。 子 网 撞 码 | 。 款 认 网 关 
pC- 192.168.10.1 
RI N/A 
CAR2220) N/A 
R2 N/A 
CAR2220) N/A 
PC-2 192.168.20.1 

N/A 

255.255.255.0 N/A 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
其 中 ，R3 上 的 两 个 环 回 接口 先 不 配置 IP 地址 。 
[Rllping -c 1 10.0.12.2 
PING 10.0.12.2: 56 data bytes, press CTRL_C to break 
Reply from 10.0.12,2: bytes=56 Sequence=l ttl=255 time=50 ms 
--- 10.0.12.2 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 50/50/50 ms 


[Rllping -ce 1 192.168.10.10 
PING 192.168.10.10: 56 data bytes, press CTRL _C to break 
Reply from 192.168.10.10: bytes=56 Sequence=] ttl=128 time=30 ms 
--- 192.168.10.10 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 30/30/30 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 


2， 搭 建 RIP 网 络 
配置 公司 路 由 器 R1 和 R2 的 RIPv2 协议 ， 并 添加 需要 通告 的 网 段 。 
[Rijripl 


— [Rl-rip-l]version 2 
[Rl-rip-llnetwork 192.168.10.0 
[Rl1-rip-l]network 10.0.0.0 


[R2]rip 1 
[R2-rip-1]version 2 
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.[R2-rip-l]network 192.168.20.0 
[R2-rip-l]network 10.0.0.0 
配置 完成 后 ， 检 查 R1 与 R2 的 路 由 表 。 
[Rlldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 

Destination/Mask Proto Pre Cost Elags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet0/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.20.0/24 RIP 100 1 D 10.0.12.2 GigabitEthernet0/0/1 

[R2-rip-l1]display ip routing-table 

Route Flags: R - relay, D - download to fib 

Routing Tables: Public 

Destinations :8 Routes :8 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 GigabitEthermnet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 RIP 1000 D 10.0.12.1 GigabitEthernet0/0/1 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 GigabitEthernet0/0/0 

192.168.20.1/32 Direct 0 D 127.0.0.1 GigabitEthernet0/0/0 


0 
可 以 观察 到 ， 此 时 双方 已 经 正常 地 获得 了 RIP 路 由 条 目 。 
3. 模拟 网 络 攻击 
配置 路 由 器 R3 作为 攻击 者 ， 接 入 公司 网 络 。 在 基本 配置 中 已 经 将 接口 GE 0/0/0 地 
址 配置 为 10.0.12.3， 与 该 公司 路 由 器 在 同一 网 段 ， 并 配置 RIPv2 协议 ， 通 告 该 网 段 ， 配 
置 完 成 后 查看 R3 的 路 由 表 。 


[R3]rip 1 
[R3-rip-l]version 2 
[R3-rip-llnetwork 10.0.0.0 


3-rip-1]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 5 Routes :5 

Destination/Mask Proto Pre™ Oost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0,12.2 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 RIP 【0D RE D 10.0,12.,1 GigabitEthernet0/0/0 
192.168.20.0/24 RIP T0021 D 10.0.12.2 GigabitEthernet0/0/0 


观察 发 现 R3 已 经 非法 获取 了 R1 和 R2 上 用 户 终端 所 在 的 两 个 网 段 的 路 由 信息 。 此 
时 R3 就 可 以 向 两 个 网 段 发 送 大 量 的 ping 包 ， 导 致 网 络 链 路 拥塞 ， 形 成 攻击 。 


172 HCNA 网 络 技术 实验 指南 


下 面 是 R3 模拟 攻击 演示 ， 发 送 10 万 个 ping 包 给 PC-1， 导 致 攻击 发 生 。 可 以 按 
<Ctrl+C> 组 合 键 来 终止 该 操作 。 
[R3]Jping -c 100000 192.168.10.10 
PING 192.168.20.1: 56 data bytes, press CTRL_C to break 

Reply from 192.168.10.10: bytes=56 Sequence=l ttl=255 time=480 ms 
Reply from 192.168.10.10: bytes=56 Sequence=2 ttl=255 time=170 ms 
Reply from 192.168.10.10: bytes=56 Sequence=3 ttl=255 time=130 ms 
Reply from 192.168.10.10: bytes=56 Sequence=4 ttl=255 time=30 ms 
Reply from 192.168.10.10: bytes=56 Sequence=5 ttl=255 time=70 ms 
Reply from 192.168.10.10: bytes=56 Sequence=6 ttl=255 time=60 ms 


完成 上 述 模拟 后 ， 在 R3 上 分 别 配 置 两 个 用 于 欺骗 的 环 回 接口 ， 地 址 分 别 为 
192.168.10.1 和 192.168.20.1， 即 与 公司 网 络 中 两 个 用 户 的 地 址 相同 ， 并 且 在 RIP 协议 中 
通告 这 两 个 欺骗 的 网 段 。 


[R31]interface loopback0 

[R3:LoopBack0]ip address 192.168.10.1 255.255.255.0 
[R3-LoopBack0jinterface loopbackl 

[R3-LoopBackljip address 192.168.20.1 255.255.255.0 
[R3-LoopBackllrip 1 

[R3-rip-l]version 2 

[R3-rip-l lnetwork 192.168.10.0 

[R3-rip-l]network 192.168.20.0 

配置 完成 后 ， 查 看 R1 与 R2 的 路 由 表 。 
[Rlldisplay ip routing-table 

Destination/Mask Proto Pre Cost Flags NextHop Interface 


Ness 


192.168.20.0/24 RIP 100 1 D 10.0.12.2 GigabitEthernet0/0/1 
RIPO1000 EL D 10.0.12.3 GigabitEthernet0/0/1 
[R21]display ip routing-table 
Destination/Mask Proto Pre Cost Flags NextHop Interface 


PE 


192.168.10.0/24 RIP 100 1 D 10.0.12.1 GigabitEthernet0/0/1 
RIB OO D 10.0.12.3 GigabitEthermet0/0/1 


可 以 观察 到 R3 发 过 来 的 路 由 更 新 。 因 为 R2 和 R3 发 送 RIP 更 新 的 cost 都 是 1 跳 ， 
所 以 在 Rl 的 路 由 表 中 ， 目 的 为 192.168.20.0 网 段 形 成 了 两 条 等 价 负 载 均衡 的 路 径 ， 下 一 
跳 分 别 是 R2 和 R3。 这 样 会 导致 去 往 192.168.20.0 网 段 的 数据 包 有 部 分 转发 给 了 欺骗 路 
由 器 R3，R2 的 路 由 表 变 化 和 R1 同 理 。 

4.， 配置 RIPv2 简单 验证 

为 了 提升 网 络 安全 性 ， 避 免 发 生 上 述 攻击 和 路 由 欺骗 ,网 络 管理 员 可 在 R1 和 了 R2 上 
配置 RIP 的 简单 验证 实现 对 网 络 的 保护 。 

在 路 由 器 Rl1 和 R2 的 GE 0/0/1 接口 配置 认证 , 使 用 简单 验证 方式 , 密码 为 huawei。 
注意 ， 两 端的 密码 必须 保持 一 致 ， 否 则 会 导致 认证 失败 ， 从 而 使 得 RIP 协议 无 法 正常 

[Rllinterface GigabitEthernet 0/0/1 

[Rl1-GigabitEthernet0/0/1 lrip authentication-mode simple huawei 


[R2]interface GigabitEthernet0/0/1 
[R2- GigabitEthernet0/0/1]rip authentication-mode simple huawei 
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配置 完成 后 ， 等 待 一 段 时 间 ， 再 次 查看 R1 和 R2 的 路 由 表 。 


[Rl1ldisplay ip routing-table 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 “Direct 0 0 D 192.168.10.1 GigabitEthernet0/0/0 
192.168.10.1/32 “Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 

192.168.20.0/24 RIP i009 D 10.0.12.2 GigabitEthernet0/0/1 

[R21]display ip routing-table 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 

192.168.10.0/24 RIP 100 1 D 10.0.12.1 GigabitEthernet0/0/1 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 GigabitEthernet0/0/0 

192.168.20.1/32 Direct 0 D 127.0.0.1 GigabitEthernet0/0/0 


可 以 观察 到 现在 R1 与 i 的 路 由 表 恢 复 正 常 , R3 发 送 的 欺骗 路 由 在 路 由 表 中 消失 。 
原因 是 R1 和 R2 配置 了 RIP 认证 , 就 要 求 在 RIP 更 新 报 文中 包含 认证 密码 ,， 如果 密码 错 
误 或 者 不 存在 ， 将 认为 该 路 由 非法 并 丢弃 。 

在 路 由 器 Rl1 的 GE 0/0/1 接口 上 抓 包 ， 如 图 7-3 所 示 。 


19 34.632000000 10.0.12.1 224.0.0.9 RIPV2 76 Response 


“Frame 19: 76 bytes on wire (608 bits), 76 bytes captured (608 bits) on interface 0 
sPoint-to-Point Protocol 
:InNternet Protocol Version 4，Src; 10.0.12.1 (10.0,.12.1), Dst: 224,0.0.9 (224.0.0.9) 
iUser Datagram Protocol, Src Port: router (520), Dst Port: router (520) 
Routing Information Protoco] 

Command: Response (2) 

Version: RIPv2 (2) 

Authentication; Simple Password 

Authentication type: Sp ed (2) 





vr ; huaWei og Vy A I 
: ITP Address: 192.168.10. 0, EEC 1 


图 7-3 抓 包 观 察 


可 以 观察 到 ， 此 时 R1 与 R2 间 发 送 的 RIP 报 文 中 含 authentication 字段 ， 并 且 密 码 
是 明文 的 huawei。 

5， 配 置 RIPv2 MD5 密 文 验证 

在 上 一 步骤 中 ， 在 RI1 和 R2 上 配置 了 简单 验证 方式 的 认证 后 ， 成 功 地 抵御 了 R3 的 
路 由 欺骗 和 攻击 ， 且 主机 PC-1 与 PC-2 可 以 正常 通信 。 但 是 通过 抓 包 能 够 发 现 ， 简 单 验 
证 方式 下 的 认证 安全 性 非常 差 ， 攻 击 者 虽然 无 法 直接 攻击 网 络 ， 但 是 可 以 通过 抓 取 RIP 
协议 数据 包 获 得 明文 密码 ， 因 此 建议 使 用 MD5 密 文 验证 方式 进行 RIPv2 的 认证 。 

在 Rl 和 R2 的 GE 0/0/1 接口 上 删除 上 一 步骤 中 的 简单 验证 配置 ， 选 择 使 用 MD5 密 
文 验证 方式 配置 。 配 置 时 可 以 选择 MD5 密 文 验 证 方式 的 报 文 格式 ，usual 参数 表示 使 用 
通用 报 文 格式 ，nonstandard 参数 表示 使 用 非 标准 报 文 格式 〈IETF 标准 )， 但 是 必须 保证 
两 端的 报 文 格式 一 致 ， 这 里 选用 通用 标准 格式 。 

[R1-GigabitEthernet0/0/1]undo rip authentication-mode 

[R1-GigabitEthermet0/0/1]rip authentication-mode md5 usual huawei 
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BR2:GigabitEthernet0/0/Ijundo rip authentication-mode 
[R2-GigabitEthernet0/0/1]rip authentication-mode md5 usual huawei 


配置 完成 后 ， 查 看 R1 和 R2 路 由 表 。 


[Rildisplay ip routing-table 

Destination/Mask Proto Pre、 Gost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet0/0/0 
192.168.10.1/32 Direct 0 0 D 127:0.0.1 GigabitEthernet0/0/0 

192.168.20.0/24 RIP 100 1 D 10.0.12.2 GigabitEthernet0/0/1 

[R21]display ip routing-table 


Destination/Mask Proto Pre Cost Flags NextHop Interface 


10.0.12.0/24 Direct 0 0 D 10.0.12.2 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 RIP u00 1 D 10.0.12.1 GigabitEthernet0/0/1 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 GigabitEthermmet0/0/0 
192.168.20.1/32 Direct 0 D 127.0.0.1 GigabitEthernet0/0/0 


可 以 观察 到 RI1 与 R2 的 路 由 表 正常 R3 发 送 的 欺骗 路 由 在 路 由 表 中 消失 ， 与 配置 
简单 验证 的 效果 一 样 。 
继续 抓 取 R1 的 GE 0/0/1 接口 上 的 报 文 ， 如 图 7-4 所 示 。 


No. Time Source Destination Protocol length Info 
1224 2565.71810.1.12.1 224.0.0.9 RIPv2 I Response 


5 Frame SR 116 Ee on wire (928 bits), 116 bytes captured (928 bits) on interface 0 
WH Point-to-Point Protocol 
(nm Tienmet Protocol Version 4, Ste: 10-1.12.1 (C10.1.12.1), Dst: 224.0.0.9 (224.0:0.9) 
lIm User Datagram Protocol, Srnc Port: router (520), Dst Port: router (520) 
局 Routing Infonrmation Protocol 
Command: Response (2) 
Version: RIPv2 〈2) 
日 Authentication: Keyed Message Digest 
Authentication type: Keyed Message Digest (3) 
Digest offset: 64 
Key ID: 1 
Auth Data Len: 20 
Seq num: 13 
Zero Padding 
B Authentication Data Trailer 
Aukhenticarion Data: db 6 





> 5S4.d 
y IP Address: 10.1.12.0, Metric: 1 
IP Address: 192.168.10.0, Metric: 1 


7-4” 抓 包 观 察 


抓 包 发 现 已 经 无 法 看 到 配置 的 认证 密码 , 而 看 到 的 是 一 个 128 位 的 hash 值 , 这 是 一 
种 单 向 的 散 列 值 ， 难 以 破解 ， 这 样 就 能 够 进一步 地 保证 网 络 的 安全 性 。 


思考 


在 本 实验 中 ，R1 和 R2 上 配置 了 认证 ，R3 没有 配置 认证 ， 根 据 分 析 ，R1 和 R2 不 
会 再 接收 R3 发 送 的 不 包含 认证 信息 的 RIP 更 新 ， 那 R3 是 否 会 接收 R1 和 R2 发 送 过 来 
的 带 有 认证 信息 的 RIP 更 新 呢 ? 为什么? 
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7.3 ”RIP 路 由 协议 的 汇总 


原理 概述 


当 网 络 中 路 由 器 的 路 由 条 目 非 常 多 时 ， 可 以 通过 路 由 汇总 《又 称 路 由 汇聚 或 路 由 聚 
合 ) 来 减少 路 由 条 目 数 ， 加 快 路 由 收敛 时 间 和 增强 网 络 稳定 性 。 路 由 汇总 的 原理 是 ， 同 
一 个 自然 网 段 内 的 不 同 子 网 的 路 由 在 向 外 (其 他 网 段 ) 发 送 时 聚合 成 一 个 网 段 的 路 由 发 
送 。 由 于 汇总 后 路 由 器 将 不 会 感知 被 汇总 子 网 有 关 的 变化 ， 从 而 提高 了 网 络 稳定 性 ， 减 
少 了 不 必要 的 路 由 器 更 新 。 

RIPv1 是 有 类 别 路 由 协议 ， 它 的 协议 报 文中 没有 携带 掩 码 信息 ， 只 能 识别 A、B、C 
类 这 样 的 自然 网 段 的 路 由 ， 因 此 RIPvl 无 法 支持 路 由 聚合 ， 也 不 支持 不 连续 子 网 ， 所 有 
路 由 会 被 自动 汇总 为 有 类 路 由 。 

RIPv2 是 一 种 无 分 类 路 由 协议 ， 报 文中 携带 掩 码 信息 ， 支 持 手动 路 由 汇总 和 自动 路 
由 汇总 两 种 方式 。 

一 基于 RIP 进程 的 有 类 自动 汇总 : 比如 对 于 10.1.1.0/24 (metric=2) 和 10.1.2.0/24 
Cmetric=3 ) 这 两 条 路 由 ， 聚 合成 自然 网 段 路 由 10.0.0.0/8 (metric=2)。 自 动 汇总 是 按 类 聚 
合 的 ， 在 华为 设备 上 自动 汇总 是 默认 关闭 的 ， 可 手动 更 改 配置 使 自动 汇总 生效 ; 

国 基于 接口 的 手动 汇总 : 用 户 可 以 指定 聚合 路 由 。 比 如 ， 对 于 10.1.1.0/24 (metric=2) 
和 10.1.2.0/24 (metric=3 ) 这 两 条 路 由 , 可 以 在 此 接口 上 配置 聚合 路 由 10.1.0.0/16 (metric=2)。 


实验 目的 


。 理解 RIP 路 由 协议 汇总 的 应 用 场景 
e 理解 RIPvl 和 RIPv2 的 自动 汇总 
e 掌握 配置 和 测试 RIPv2 手动 汇总 的 方法 


实验 内 容 


在 由 3 台 路 由 器 所 组 成 的 简单 网 络 中 ，R3 连接 着 多 个 网 段 ， 通 过 Loopback 口 来 模 
拟 多 个 网 段 ， 通 过 实验 实现 RIPV1 自动 汇总 、RIPv2 自动 汇总 以 及 RIPv2 手工 汇总 。 


实验 拓扑 
RIP 路 由 协议 的 汇总 拓扑 如 图 7-5 所 示 。 





Serial 1/0/0 Serial 1/0/0 

ed 四 ---- 包 

民 Serial 1/0/1 民 Serial 1/0/1 民 
R2 





图 7-5 ”RIP 路 由 协议 的 汇总 拓扑 
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实验 编 址 


实验 编 址 见 表 7-3。 
表 7-3 实验 编 址 


Serial 1/0/0 255.255.255.0 
Serial 1/0/1 255.255.255.0 
Loopback 0 255.255.255.0 
Loopback 1 255.255.255.0 
Loopback 2 255.255.255.0 
Loopback 3 255.255.255.0 









RI1 (AR1220) 






R2 (AR1220) 


R3 (AR1220) 





实验 步骤 

1. 基本 配置 

根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连 
通 性 。 


<R1>ping-c 1 192.168.12.2 
PING 192.168.12.2: 56 data bytes, press CTRL_C to break 
Reply from 192.168.12.2: bytes=56 Sequence=] ttl=255 time=30 ms 
--- 192.168.12.2 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 30/30/30 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2， 配置 RIPvl 协议 
在 路 由 器 R1、R2、R3 上 配置 RIPvl 协议 ， 通 告 相应 网 段 。 


[RIJrip 1 
[Rl-rip-lJnetwork 192.168.12.0 


[R21]rip 1 
[R2-rip-l]network 192.168.12.0 
[R2-rip-l network 192.168.23.0 


[R3]rip 1 

[R3-rip-1jnetwork 192.168.23.0 

[R3-rip-1jnetwork 3.0.0.0 

配置 完成 后 ， 查 看 Rl1 与 R2 的 路 由 表 。 
<R1>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 
Destinations : 7 Routes :7 
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Destination/Mask Proto Pre Cost Flags NextHop Interface 
3.0.0.0/8 -RIP INLN 光电 7 D 192.168.12.2 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0,1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.12.0/24 Direct 0 0 D 192.168.12.1 Seriall/0/0 
192.168.12.1/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
192.168.12.2/32 “Direct 0 0 D 192.168.12.2 Seriall/0/0 
192.168.23.0/24 RIP IJ00 了 D 192.168.12.2 Seriall/0/0 
<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 9 Routes :9 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
3.0.0.0/8 RIP i000 D 192.168.23.3 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 “Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.12.0/24 Direct 0 0 D 192.168.12.2 Serial1/0/1 
192.168.12.1/32 “Direct 0 0 D 192.168.12.1 Serial1/0/1 
192.168.12.2/32 Direct 0 0 D 127.0.0.1 Seriall/0/1 
192.168.23.0/24 “Direct 0 0 D 192.168.23.2 Serial1/0/0 
192.168.23,2/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
192.168.23,3/32 “” Direct 0 D 192.168.23.3 Serial1/0/0 


可 以 观察 到 R3 发 送 过 来 的 汇总 路 由 条 目 3.0.0.0/8， 没 有 任何 明细 路 由 条 目 。 
在 R3 的 S$ 1/0/1 接口 上 抓 包 ， 如 图 7-6 所 示 。 


Ne Time Source Destination Protocol Length TX rate RSS! Frequency/channel Info a 
59 120.932000000 192.168.23.3 255. 255. 235, 2 PIEVD 6 ReSpoNls 
64 124. 1620 00000 192.108.23.2 \ 让 





1000 192.168.23.2 255.255. 255.259RTPVT 


s Frame 59: 76 bytes on wire (608 bits), 76 bytes captured (608 bits) on interface 0 

i point-to-Point Protocol 

‘ Internet protoco] Version 4, Sre: 192.168.23.3 (192.:168.23.3), Dst: 255.255.255.255 (255.255.255.2 
: User Datagram Protoco1， Src Port: PF (520), Dst Port: router (520) 









Command: Response (2) 

version: RIPv1 (1) 

IP Address: 3.0.0.0, Metric: 1 
Address Family: IP (2) 
IP Address: 3.0.0.0 (3.0.0.0) 
Metric: 1 

IP Address: 192.168.23.0, Metric:; 16 
Address Family: IP (2) 
IP Address: 192.168.23.0 (192.168.23.0) 
Metric:; 16 


图 7-6 抓 包 观 察 


可 以 观察 到 ，RIPvl 的 协议 报 文中 没有 携带 掩 码 信息 ， 只 有 相应 的 网 络 号 以 及 
Metric 值 , 即 RIPvV1 只 发 布 汇 总 后 的 有 类 路 由 。RIPv1 默认 开启 自动 汇总 , 且 无 法 关闭 ， 
也 不 支持 手动 汇总 。 可 以 使 用 display default-parameter rip 命令 查看 RIP 默认 配置 
信息 。 


<R3>display default-parameter rip 


Protocol Level Default Configurations 
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RIPversion :1 
Preference :100 
Checkzero : Enabled 
Default-cost :0 

Auto Summary :Enabled 
Host-route : Enabled 


可 以 观察 到 默认 开启 了 自动 汇总 。 
3. 配置 RIPv2 自动 汇总 
在 路 由 器 R1、R2、R3 上 配置 version 2 命令 ， 运 行 RIPv2 协议 。 


[Rllrip 1 
[Rl-rip-l]version 2 


[R2]rip 1 
[R2:rip-1]version 2 


[R3lrip 1 
[R3-rip-l]version 2 


配置 完成 后 ， 在 R3 的 S 1/0/1 接口 上 抓 包 ， 如 图 7-7 所 示 。 


No, Time ee Destination Protocol Length TX rate RSSI fFrequency/chennel 二 





996 0 168.23.3 224.0.0.9 RIPV2 Responss 


1005 2139. 367000000192.168;: 23:2 RIPV2 





mFrame :996: 116 ts on 二 下去 (928 bits), 116 bytes captured (928 bits) on interface 0 
5 point-to-point protocol 
n INnternet protocol Version 4, Sre; 192.168.23.3 (192.168.23.3), Dst: 224.0.0.9 (224.0.0.9) 
User Datagram Protocol，Src Port: router (520), Dst Port: router (520) 
BRouting Information Protocol 
Command: Response (2) 
Version: RIPV2 (2) 
IP Address: 3.3.0.0, Metric: 1 
aIP Address: 3.3.1.0, Metric: 1 
Address Family: IP (2) 
Route Tag: 0 
IP Address: 3.3.1.0 (3.3.1.0) 
205250 (29923 






Next Hop: 0.0.0.0 (0.0.0.0 
Metric: 1 
mIP Address: 


-站 .0, Metric: 1 
IIP Address: 3. 


-0, Metric: 1 


ww 
Ww 


图 7-7 抓 包 观 察 


可 以 观察 到 ，RIPv2 报 文 中 携带 了 掩 码 信息 。RIPv2 支持 自动 汇总 ， 默 认 是 开启 的 ， 
并 且 可 以 关闭 。 


查看 Rl 与 R2 的 路 由 表 。 


[Rlldisplay ip routing-table 
Route Flags: R -relay,D - download to fib 


i 


Routing Tables: Public 
Destinations : 10 Routes: 10 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
3.3.0.0/24 RIP 100 2 D 192.168.12.2 Seriall/0/0 
3.3.1.0/24 RIP 100 2 了 192.168.12.2 Seriall/0/0 
3.3.2.0/24 RIP 100 2 D 192.168.12.2 Seriall/0/0 
3.3.3.0/24 RIP 100 2 D 192.168.12.2 Seriall/0/0 
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127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 


[ER2]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations ; 12 Routes ; 12 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
3.3.0.0/24 RIP 100 1 D 192.168.23.3 Seriall/0/0 
3.3.1.0/24 RIP OD D 192.168.23.3 Seriall/0/0 
3.3.2.0/24 RIP 100. ml D 192.168.23.3 Seriall/0/0 
3.3.3.0/24 RIP 100 1 D 192.168.23.3 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 


nna 


可 以 观察 到 ， 接 收 到 的 路 由 条 目 是 具体 的 明细 路 由 条 目 ， 而 没有 汇总 路 由 ， 即 此 时 
RIPv2 默认 自动 汇总 并 没有 生效 。 

这 是 因为 在 华为 设备 上 ， 以 太 网 接口 和 串口 都 默认 启用 了 水 平分 割 功能 。 为 了 防止 
环 路 和 不 连续 子 网 问题 的 产生 ， 在 启用 了 水 平分 割 或 毒性 逆转 的 接口 上 ，RIPv2 的 默认 
自动 汇总 就 会 失效 ， 所 以 从 R3 通告 过 来 的 都 是 具体 的 明细 路 由 条 目 。 

要 使 RIPv2 的 默认 自动 汇总 生效 ， 有 两 种 方法 。 

第 一 种 方法 ， 使 用 summary always 命令 。 配置 该 命令 后 ， 不 论 水 平分 割 是 否 启用 ， 
RIPv2 的 目 动 汇总 都 生效 。 

[R3]rip 

[R3-rip-l]version 2 

[R3-rip-l]summary always 

第 二 种 方法 ， 关 闭 相应 接口 下 的 水 平分 割 功能 。 

[R3jinterface Serial 1/0/1 

[R3-Seriall/0/1]undo rip split-horizon 

使 用 以 上 的 任 一 种 方法 后 ， 查 看 R1 与 R2 的 路 由 表 。 

<Rl>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
3.0.0.0/8 RIP 100 2 D 192.168.12.2 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
<R2>display ip routing-table 


Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 9 Routes :9 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
3.0.0.0/8 RIP 100 | D 192.168.23.3 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 此 时 RIPv2 的 自动 汇总 生效 了 。 
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4. 配置 RIPv2 手动 7 
配置 手动 汇总 需 首 先 删除 上 一 步骤 中 使 RIPv2 自动 汇总 功能 生效 的 配置 ， 这 里 省 略 


此 步骤 。 


在 R3 上 使 用 rip summary-address 命令 配置 手动 汇总 , 配合 需要 汇总 的 本 地 网 络 全 


地 址 为 3.3.0.0， 网 络 掩 码 为 255.255.252.0。 


[R3]interface Serial 1/0/1 
[R3-Seriall/0/1]rip summary-address 3.3.0.0 255.255.252.0 


配置 完成 后 ， 查 看 R1 与 R2 的 路 由 表 。 
<R1l>display ip routing-table 
Route Flags:R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
3,3.0.0/22 RIP 100 2 D 192.168.12.2 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 ” JInLoopBack0 
192.168.12.0/24 Direct 0 0 D 192.168.12.1 Seriall/0/0 
192.168.12.1/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
192.168.12.2/32 Direct 0 0 D 192.168.12.2 Seriall/0/0 
192.168.23.0/24 RIP 100 1 D 192.168.12.2 Seriall/0/0 
<R2>display ip routing-table 
Route Flags: R -relay, D - download to fib 
Routing Tables: Public 
Destinations : 9 Routes :9 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
3.3.0.0/22 RIP 100 1 D 192.168.23.3 Seriall/0/0 
127.0.0.0/8 ”Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.12.0/24 Direct 0 0 D 192.168.12.2 Seriall/0/1 
192.168.12.1/32 Direct 0 0 D 192.168.12.1 Seriall/0/1 
192.168.12.2/32 Direct 0 0 D 127.0.0.1 Seriall/0/1 
192.168,23.0/24 Direct 0 0 D 192.168.23.2 Seriall/0/0 
192.168.23.2/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
192.168.23.3/32 Direct 0 D 192.168.23.3 Seriall/0/0 


可 以 观察 到 ， Rl 和 R2 上 已 经 接收 到 了 该 汇总 路 由 条 目 ， 且 没有 任何 明细 路 由 


条 目 。 
思考 


华为 设备 默认 开启 了 RIPv2 的 自动 汇总 ， 如 果 没 有 默认 开启 接口 下 的 水 平分 割 ， 


自动 汇总 生效 的 情况 下 ， 可 能 会 导致 出 现 环 路 以 及 不 连续 子 网 等 问题 。 请 设计 一 个 相关 
场景 ， 模 拟 在 RIPv2 开启 了 自动 汇总 且 关 闭 了 水 平分 割 的 情况 下 ， 导 致 路 由 环 路 或 不 连 
续 子 网 问题 的 出 现 。 
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7.4 配置 RIP 的 版 本 兼容 、 定 时 器 及 协议 优先 级 


原理 概述 


RIP 在 IPv4 中 有 vl 和 v2 两 个 版 本 。 在 配置 RIP 时 ， 如 果 不 指 定 版 本 ， 接 口 默 认 情 
况 下 能 接收 v1 和 v2 的 报 文 ， 但 只 能 发 送 vl 的 报 文 ; 在 指定 版 本 的 情况 下 ，RIPv1l 只 能 
接收 和 发 送 vl 的 报 文 ，RIPv2 只 能 接收 和 发 送 v2 的 报 文 。 

RIP 的 定时 器 有 3 种 : 更 新 计时 器 ， 默 认 每 30s 发 送 一 次 更 新 ;超时 计时 器 ， 默 认 
时 间 180s， 如 果 在 超时 计时 器 内 没有 收 到 邻居 发 来 的 更 新 报 文 ， 则 把 该 路 由 的 度量 值 设 
置 为 16， 并 启动 垃圾 收集 定时 器 ; 垃圾 收集 定时 器 ， 默 认 时 间 120s， 如 果 启 动 了 该 计时 
器 ， 那 么 120s 超时 以 后 ， 路 由 表 中 会 删除 该 路 由 表 项 。 

RIP 默认 协议 优先 级 为 100， 可 以 手动 修改 。 


实验 内 容 


本 实验 中 采用 简单 的 场景 介绍 RIP 各 版 本 间 的 区 别 及 如 何 实现 相互 间 的 兼容 、RIP 
的 3 种 定时 器 的 作用 及 修改 方法 、RIP 优先 级 的 作用 及 修改 方法 。 


实验 目的 


。 掌握 配置 RIP 版 本 的 方法 

。 理 解 RIPvl 和 RIPv2 的 相互 兼容 性 
。 掌握 RIP 的 3 种 定时 器 的 配置 

。 掌握 RIP 的 协议 优先 级 的 配置 


实验 拓扑 
配置 RIP 的 版 本 兼容 、 定 时 器 及 协议 优先 级 的 拓扑 如 图 7-8 所 示 。 


2 GE 0/0/0 







GE 0/0/0 


Ethernet 0/0/1 Ethernet 0/0/1 











PC-1 PC-2 
图 7-8 配置 RIP 的 版 本 兼容 、 定 时 器 及 协议 优先 级 拓扑 


实验 编 址 
实验 编 址 见 表 7-4。 
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表 7-4 实验 编 址 













R1 (AR2220) 


R2 (AR2220) 


GE 0/0/1 192.168.20.1 2552255.255.0 
Ethernet 0/0/1 192.168.10.10 255.255.255.0 


Ethernet 0/0/1 192.168.20.10 253.255.255.0 







192.168.10.1 
192.168.20.1 





实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 


[Rllping -c 1 10.0.12.2 
PING 10.0.12.2: 56 data bytes, press CTRL _C to break 
Reply from 10.0.12.2: bytes=56 Sequence=1 ttl=255 time=50 ms 
--- 10.0.12.2 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 50/50/50 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2. 配置 RIP 协议 的 版 本 兼容 

按照 图 7-8 分 别 在 R1 和 R2 上 配置 RIP 协议 ， 通 告 相应 网 段 。 但 是 在 R1 上 ， 不 指 
定 RIP 的 版 本 ， 在 R2 上 指定 使 用 版 本 v2。 


区 1jrip 
[R1-rip-lJnetwork 10.0.0.0 
[Ri-rip-l]network 192.168.10.0 


攻 2jrip 
[R2-rip-l1network 10.0.0.0 
[R2-rip-1jnetwork 192.168.20.0 


[R2:-rip-1]version 2 
配置 完成 后 ， 使 用 display ip routing-table 命令 查看 RI1 和 R2 的 路 由 表 。 
[Rlldisplay ip routing-table 


Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direet DO D 127.0.0.1 InLoopBack0 
192.168.10,0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet0/0/1 
192.168.10.1/32 JP 了 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.20.0/24 RIP 100 1 D 10.0.12.2 GigabitEthernet0/0/0 


[R21]display ip routing-table 


第 7 章 RIP 183 


Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 6 Routes :6 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 ‘0 D 10.0.12.2 GigabitEthernet0/0/0 
10.0.12.2/32 Direet 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 GigabitEthernet0/0/1 
192.168.20.1/32 Direct :0 0 D 127.0.0.1 GigabitEthernet0/0/1 


可 以 观察 到 ， 在 R1 的 路 由 表 中 存在 PC-2 所 在 网 段 的 路 由 条 目 ， 在 R2 的 路 由 表 中 
没有 发 现 PC-2 所 在 网 段 的 路 由 条 目 。 

在 Rl 的 GE 0/0/0 接口 上 抓 取 RIl 发 送 给 R2 和 从 R2 接收 到 的 RIP 报 文 ， 如 图 7-9 
所 示 。 


Destinati on 









机 Frame 4: 66 bytes on wire (528 bits), 66 bytes captured (528 
EG Ethernet II, Src: HuaweiTe_03:29:72 (00:e0:fc:03:29:72), Dst: Broadcast (ff:ff:ff:ff:ff:ff) 
EF Internet protocol, Sre: 10-0.12.1 (10.:0.12.1), Dst* 255.255.259%255 (255.255.255. 255) 
EE User Datagram Protocol, src Port: rourer (520), Dst Port: router (520) 
= Routing Information Protocol 

Command: Response {2) 

Version: RIPV1 (1) 
日 IP Address: 192.168.10.0, Metric: 1 

Address Family: IP (2) 

IP Address: 192.168.10.0 (192.168.10.0) 

Metric: I 


图 7-9 ” 抓 包 观 察 


可 以 观察 到 R1 采用 版 本 1， 即 广播 方式 来 发 送 更 新 ， 而 R2 采用 版 本 2， 即 组 播 方 
式 发 送 更 新 。 验 证 了 R1 在 RIP 协议 进程 中 没有 明确 指定 版 本 配置 时 ， 默 认 是 可 以 处 理 
接收 版 本 1 和 版 本 2 的 报 文 ， 但 仅 发 送 版 本 1 的 报 文 ， 而 R2 因 在 RIP 协议 进程 中 明确 
配置 了 版 本 2， 仅 接收 和 发 送 版 本 2 的 报 文 。 

因此 ， 由 于 R1 发 送 的 是 RIPvl 报 文 ， 而 R2 不 能 正确 处 理 接收 ， 所 以 R2 的 路 由 表 
中 没有 PC-1 所 在 网 段 的 路 由 条 目 。 而 R2 发 送 的 RIPv2 报 文 能 够 被 R1 处 理 接收 ， 所 以 
在 Rl 的 路 由 表 中 存在 PC-2 所 在 网 段 的 路 由 条 目 。 

现在 为 了 使 R2 也 能 接收 PC-1 所 在 网 段 的 路 由 条 目 ,在 R1 上 设置 接口 的 RIP 版本， 
使 Rl 能 够 以 广播 方式 发 送 RIPV2 报 文 。 


[Rllinterface GigabitEthernet0/0/0 
[RI1-GigabitEthernet0/0/0]rip version 2 broadcast 
配置 完成 后 ， 查 看 R2 的 路 由 表 。 
[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations ; 7 Routes ;7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
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10.0.12.0/24 Direct 0 0 D 10.0.12.2 GigabitEthernet0/0/0 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 JnLoopBack0 

127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 

192.168.10.0/24 RIP 100 1 D 10.0.12.1 GigabitEthernet0/0/0 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 GigabitEthernet0/0/1 
192.168.20.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 


发 现 路 由 表 中 已 经 存在 R1 发 送 过 来 的 路 由 条 目 。 同样 也 可 以 使 用 rip version 
2 mutlicast 命令 ， 即 使 R1 能 够 以 组 播 方 式 发 送 RIPV2 报 文 ， 效果 一 样 ， 这 里 不 再 

在 配置 RIP 协议 时 建议 路 由 器 之 间 配 置 相同 RIP 版 本 ， 即 所 有 路 由 器 都 配置 RIPV1 
或 者 都 配置 RIP V2， 以 避免 可 能 由 于 错误 配置 而 导致 RIP 协议 无 法 正常 工作 。 

3. 配置 RIP 的 定时 器 

配置 完 RIP 版 本 兼容 后 ,再 次 在 R1 的 GE 0/0/0 接口 上 通过 抓 包 分 析 R1 和 R2 更 新 
报 文 的 发 送 情况 ， 如 图 7-10 所 示 。 


2 10.187000 10.0° T1291 
EE 
4 40.217000 10.0.12 J 
5 65.942000 40.0,.12.2 
图 7-10 抓 包 观察 


可 以 观察 到 Rl 在 10s 时 发 送 了 一 次 更 新 ，R2 在 34s 时 发 送 了 一 次 更 新 ，R1 在 40s 
时 发 送 了 下 一 次 更 新 ，R2 在 65s 时 发 送 了 下 一 次 更 新 。 即 默认 情况 下 RIP 协议 会 每 隔 
30s 左右 发 送 一 次 路 由 更 新 。 

路 由 更 新 的 有 效 期 为 超时 定时 器 定义 的 时 间 180s。 即 当 在 180s 内 没有 收 到 新 的 路 
由 更 新 ， 则 宣布 该 路 由 不 可 达 ， 并 从 路 由 表 中 清除 掉 该 路 由 条 目 。 

为 了 验证 效果 ， 在 Rl 的 GE 0/0/0 接口 上 配置 停止 发 送 RIP 路 由 更 新 。 


[Ri]jinterface GigabitEthernet0/0/0 
[R1-GigabitEthermmet0/0/0jundo rip output 


配置 完成 后 ， 此 时 Rl 的 GE 0/0/0 接口 上 已 经 无 法 发 送 任何 RIP 路 由 更 新 ， 此 时 立 
刻 查 看 R2 的 路 由 表 。 


[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 
Destinations : 7 Routes :7 





Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 GigabitEthemet0/0/0 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 RIP iNOW D 10.0.12.1 GigabitEthemet0/0/0 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 GigabitEthemet0/0/1 
192.168.20.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/] 


可 以 观察 到 ， 从 R1 接收 到 的 路 由 条 目 依 然 存 在 ， 原因 是 RIP 超时 定时 器 没有 到 期 ， 
该 路 由 条 目 依然 被 保存 在 路 由 表 中 。 
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使 用 display rip database 命令 检查 R2 的 RIP 发 布 数据 库 中 的 所 有 激活 路 由 。 
[R21]display rip 1 database 
Advertisement State : [A] - Advertised 
四 -NotAdvertised/Withdraw 
10.0.0.0/8, cost 0, ClassfulSumm 
10.0.12.0/24, cost 0, [A], Rip-interface 
192.168.10.0/24, cost 1, ClassfulSumm 
192.168.10.0/24, cost 1, [Al, nexthop 10.0.12.1 
192.168.20.0/24, cost 0, ClassfulSumm 
192.168.20.0/24, cost 0, [A], Rip-interface 
路 由 条 目 也 没有 发 生变 化 ， 状 态 仍然 为 [A]， 即 仍 被 通告 。 在 等 待 超 时 计时 器 到 期 定 
义 的 180s 以 后 再 使 用 display ip routing-table 命令 检查 。 
[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 GigabitEthermet0/0/0 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.20.0/24 Direct 0 D 192.168.20.1 GigabitEthernet0/0/1 
192.168.20.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 


可 以 观察 到 ，R2 的 路 由 表 中 已 经 无 法 看 到 R1 发 送 过 来 的 路 由 条 目 ， 原 因 是 超时 定 
时 器 已 经 到 期 ， 该 路 由 条 目 被 定义 为 失效 ， 已 经 从 路 由 表 中 清除 了 。 
同时 再 次 检查 R2 的 路 由 表 和 发 布 数据 库 。 
[R2]display rip 1 database 
Advertisement State : [A] - Advertised 
[1] - Not Advertised/Withdraw 
10.0.0.0/8, cost 0, ClassfulSumm 
10.0.12.0/24, cost 0, [A], Rip-interface 
192.168.10.0/24, cost 16, ClassfulSumm 
192.168.10.0/24, cost 16, [I], nexthop 10.0.12.1 
192.168.20.0/24, cost 0, ClassfulSumm 
192.168.20.0/24, cost 0, [A], Rip-interface 


发 现在 数据 库 中 可 以 看 到 该 路 由 条 目 , 但 是 该 路 由 条 目 己 经 被 标记 为 16 跳 , 即 不 可 
达 ， 并 且 状 态 标记 为 加， 该 路 由 将 不 能 被 通告 出 去 。 虽 然 该 条 目 已 失效 ， 但 是 仍然 存在 
于 发 布 数据 库 中 的 原因 是 RIP 垃圾 收集 定时 器 启动 ， 且 还 没有 到 期 ， 暂 时 不 能 从 数据 库 
中 清除 。 


如 果 在 默认 120s 内 仍然 没有 收 到 更 新 报 文 ， 垃 圾 收集 定时 器 超时 后 将 删除 该 表 项 。 
经 过 120s 后 再 查看 R2 上 的 发 布 数据 库 。 
[R2]dispjay rip 1 database 
pad 
[J]- Not Advertised/Withdraw 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


10.0.0.0/8, cost 0, ClassfulSumm 


186 HCNA 网 络 技术 实验 指南 


10.0.12.0/24, cost 0, [A], Rip-interface 
192.168.20.0/24, cost 0, ClassfulSumm 
192.168.20.0/24, cost 0, [A], Rip-interface 
可 以 观察 到 ， 此 时 已 经 不 存在 任何 R1 发 送 过 来 的 路 由 条 目 。 
可 以 通过 timers rip 命令 改变 这 几 个 定时 器 的 默认 值 来 影响 RIP 的 收敛 速度 。 现 将 
R1 的 更 新 报 文 的 时 间 间 隔 修改 为 20s， 超 时 计时 器 的 超时 时 间 修 改 为 120s， 垃 圾 收集 计 
时 器 的 超时 时 间 修 改 为 60s。 
[Rllrip I 
[R1-rip-l1ltimers rip 20 120 60 
配置 完成 后 ， 查 看 RIP 的 协议 信息 。 
[Rll]display rip 
Public VPN-instance 
RIP process : 1 
RIP version :2 
Preference :100 
Checkzero : Enabled 
Default-cost :0 
Summary : Enabled 
Host-route : Enabled 
Maximum number of balanced paths : 32 
Updatetime :20s Agetime : 120's 
Garbage-collect time : 60's 
Graceful restart : Disabled 
BFD :Disabled 


可 以 观察 到 ，RIP 定时 器 的 值 在 更 改 后 立即 生效 。 

如 果 3 个 定时 器 值 设置 不 当 ， 会 引起 网 络 不 稳定 。 例 如 ， 如 果 更 新 时 间 大 于 失效 时 
间 ， 那 么 在 更 新 时 间 内 ， 可 能 在 接收 到 路 由 更 新 之 前 ， 本 地 的 路 由 条 目 已 经 失效 了 。 定 
时 器 值 的 调整 应 考虑 网 络 的 规模 和 性 能 ， 并 在 所 有 运行 的 RIP 路 由 器 上 进行 统一 配置 。 

4 配置 RIP 协议 优先 级 

在 实际 网 络 中 ， 去 往 相 同 目的 网 段 的 路 由 信息 可 以 通过 不 同 的 路 由 协议 获取 ， 比 如 
同时 通过 静态 路 由 和 RIP 协议 获取 ， 此 时 就 会 先 比较 二 者 的 协议 优先 级 ， 通 过 具有 较 高 
优先 级 的 路 由 协议 所 获取 的 路 由 信息 将 被 优选 放 入 路 由 表 中 。 

查看 R1 的 路 由 表 。 


[Rildisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 © Direct 0 0 D 192.168.10.1 GigabitEthernet0/0/1 
192.168.10.1/32 Direct 0 0 127.0.0.1 GigabitEthermet0/0/1 
192.168.20.0/24 RIP 100 1 10.0.12.2 GigabitEthernet0/0/0 


可 以 观察 到 RIP 的 路 由 优先 级 默认 值 为 100。 可 以 使 用 preference 命令 将 Rl 的 路 由 
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优先 级 调整 为 90， 然 后 查看 R1 的 路 由 表 。 


[Rillrip 
[Rl-rip-l]preference 90 


[Rl-rip-l]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet0/0/1 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.20.0/24 RIP 90 D 10.0.12.2 GigabitEthernet0/0/0 
可 以 观察 到 此 时 已 经 完成 了 相应 修改 。 注意 优先 级 的 数值 越 小 ， 代 表 优 先 级 越 高 。 
思考 


在 此 实验 中 ， 如 果 在 R1 上 配置 一 条 去 往 192.168.20.0 网 段 的 静态 路 由 ， 再 把 RIP 
优先 级 修改 为 60, 那么 在 R1 的 中路 由 表 中 该 网 段 路 由 来 自 RIP 还 是 静态 路 由 ? 为 什么 ? 


7.5 配置 RIP 抑制 接口 及 单 播 更 新 


原理 概述 


RIP 支持 抑制 接口 的 配置 ， 即 配置 后 禁止 接口 发 送 更 新 报 文 ， 但 此 接口 所 在 网 段 的 
路 由 可 以 发 布 出 去 。 可 通过 两 种 方法 来 实现 ， 执 行 silent-interface 命令 或 在 接口 下 配置 
undo rip output 使 其 只 接收 报 文 ， 但 不 能 发 送 RIP 报 文 。silent-interface 的 优先 级 大 于 
在 接口 下 配置 的 undo rip output, 默认 情况 下 为 不 抑制 状态 。 还 可 以 在 接口 下 配置 undo 
rip input 命令 ， 禁 止 接口 接收 RIP 更 新 报 文 ， 这 也 是 预防 路 由 环 路 的 一 种 方式 。 

单 播 更 新 是 指 RIP 使 用 单 播发 送 RIP 报 文 。 在 默认 情况 下 ，RIP 每 阳 30s 以 广播 或 
组 播 方 式 交 换 整 个 路 由 表 的 信息 ， 这 将 耗费 大 量 网 络 带 宽 ， 特 别 是 在 广域网 中 ， 可 能 出 
现 严 重 性 能 问题 。 为 了 解决 因 RIP 的 广播 报 文 而 产生 的 网 络 性 能 问题 ， 可 以 使 用 单 播 更 
新 的 方式 来 交换 路 由 信息 。 当 使 用 silent-interface 命令 配置 抑制 接口 后 ， 再 指定 单 播 更 
新 的 目的 地 址 后 ,， 单 播 更 新 有 效 ; 如 果 在 接口 下 使 用 undo rip output 命令 来 配置 抑制 接 
口 ， 即 使 再 指定 单 播 更 新 的 目的 地 址 也 是 无 法 发 送 更 新 的 路 由 条 目的 。 

RIPv1 和 RIPv2 对 于 抑制 接口 和 单 播 更 新 的 特性 支持 情况 相同 。 


实验 目的 
。 掌握 RIP 抑制 接口 的 配置 
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。 理解 抑制 接口 的 原理 及 应 用 场景 
。 掌握 RIP 中 单 播 更 新 的 配置 
。 理解 单 播 更 新 的 原理 及 应 用 场景 


实验 内 容 


本 实验 模拟 企业 网 络 场 景 。R1 为 该 公司 出 口 网 关 路 由 器 ， 连 接 运 营 商 网 络 ，R2 
为 公司 IT 部 门路 由 器 ,通过 交换 机 S1 与 网 关 相 连 ， 人事 部 员工 直接 通过 交换 机 S1 接 
入 公司 网 络 ，R3 为 公司 财务 部 门路 由 器 ， 同 样 通过 S1 与 网 关 相连 。 所 有 路 由 器 运行 
路 由 协议 RIP 实现 网 络 互通 。 由 于 交换 机 S1 直 连 了 大 量 PC 用 户 ， 如 果 R1 继续 以 广 
播 (RIPv1) 或 组 播 (RIPv2) 的 方式 发 送 更 新 的 路 由 给 R2 和 R3， 处 于 同一 广播 网 络 
中 的 S1 下 连接 的 PC 也 会 收 到 这 些 对 PC 来 说 无 用 的 更 新 , 造成 了 带宽 和 资源 的 浪费 。 
为 了 优化 网 络 ， 现 需 在 R1 的 GE 0/0/1 接口 配置 抑制 接口 来 抑制 广播 或 组 播 更 新 ， 为 
了 使 R2 和 R3 能 照常 接收 更 新 ， 还 需要 在 R1 上 配置 与 R2、R3 的 单 播 更 新 ， 同 时 禁 
止 其 他 部 门 访问 财务 部 门 ， 需 抑制 R3 的 E 1/0/1 接口 ， 不 发 布 任何 RIP 路 由 ( 单 播 更 
新 也 不 行 )， 仅 可 接收 其 他 路 由 信息 。 


实验 拓扑 
配置 RIP 抑制 接口 及 单 播 更 新 的 拓扑 如 图 7-11 所 示 。 







Ethernet 0/0/1 
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Sl 172.16.1.024 


Rl 
公司 出 口 网 关 





PC-2 Ethernet 0/0/3 


Ethernet 1/0/1 


Ethernet 0/0/1 





Ethernet 1/0/0 


图 7-11 配置 RIP 抑制 接口 及 单 播 更 新 拓扑 





实验 编 址 
实验 编 址 见 表 7-5。 
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表 7-5 实验 编 址 


设备 IP 地 址 子 网 掩 码 默认 网 关 
R1 (AR2220) GE 0/0/1 172.16.1.254 255:2335.235:0 N/A 
Ethernet 1/0/1 172.16.1.100 255.255.255,0 N/A 
sd Ethernet 1/0/0 172.16.2.254 255;255.:255;0 N/A 
Ethernet 1/0/1 172.16.1.200 255.255.255.0 N/A 
) | Ethemet 1/0/ | 
He Ethernet 1/0/0 192.168.1.254 255255.255.0 N/A 
PC-1 Ethernet 0/0/1 172.16.2,1 255.255.255.0 172.16.2.254 
PC-2 Ethernet 0/0/1 172.16.1.1 255.255,255.0 172.16.1.254 
PC-3 Ethernet 0/0/1 192.168.1.1 2553.255.235.0 192.168.1.254 


实验 步 又 


1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。 
[Rilping -ce 1 172.16.1.1 
PING 172.16.1.1: 56 data bytes, press CTRL C to break 
Reply from 172.16.1.1: bytes=56 Sequence=l ttl=128 time=50 ms 
--- 172.16.1.1 ping statistics -~ 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 50/50/50 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 基础 的 RIP 网 络 
在 公司 各 台 路 由 器 上 都 运行 RIP 路 由 协议 ， 并 通告 相应 网 段 。 
[Rllrip 1 
[Rl-rip-llnetwork 172.16.0.0 


[R2]rip 1 
[R2-rip-1]jnetwork 172.16.0.0 


[R31rip 1 
[R3-rip-l]network 172.16.0.0 
[R3-rip-1jnetwork 192.168.1.0 


配置 完成 后 ， 检 查 3 台 设 备 的 路 由 表 。 


[Rlldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 6 Routes :6 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.254 GigabitEthernet0/0/1 
172.16.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
172.16.2.0/24 RIP 100 1 D 172.16.1.100 GigabitEthemet0/0/1 
192.168.1.0/24 RIP 100 1 D 172.16,1.200 GigabitEthernet0/0/1 
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[R21]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 

Destination/Mask Proto Rreo'Ooat Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.100 Ethemet1/0/1 
172.16.1.100/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.254 Ethernet1/0/0 
172.16.2.254/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
192.168.1.0/24 RIP 100 1 D 172.16.1.200 Ethemet1/0/1 

[R3]display ip routing-table 

Route Flags: R - relay, D - download to fib 

Routing Tables: Public 

Destinations : 7 Routes :7 

Destination/Mask Proto Rre ©ost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.200 Ethemet1/0/1 
172.16.1.200/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
172.16.2.0/24 RIP 100 1 D 172.16.1.100 Ethernet1/0/]1 
192.168.1.0/24 © Direct 0 0 D 192.168.1.254 Ethernet1/0/0 
192.168.1.254/32 Direct 0 D 127.0.0.1 Ethernet1/0/0 


可 以 观察 到 此 时 每 台 路 由 器 上 都 已 经 拥有 了 所 有 网 段 的 路 由 信息 ， 连 通 性 检查 这 里 
省 略 。 

接 下 来 网 络 管理 员 在 PC-2 的 EE0/0/1 接口 上 抓 包 ， 如 图 7-12 所 示 ， 可 以 观察 到 接收 
了 许多 对 PC-2 来 说 无 用 的 RIP 路 由 更 新 。 


Ne. Tims Source Destirascn Prortccol length indc 





6.7590000172.16 





802.9990000172.16.1.25 





图 7-12” 抓 包 观 察 


在 PC-1 的 EE0/0/1 接口 下 抓 包 ， 如 图 7-13 所 示 。 
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图 7-13” 抓 包 观察 


同样 可 观察 到 PC-1 上 接收 到 许多 对 PC-1 而 言 无 用 的 RIP 更 新 ， 这 是 由 于 在 R2 上 
172.16.2.0 网 段 也 被 通告 进 了 RIP 协议 中 ， 即 R2 的 下 1/0/0 接口 运行 在 了 RIP 协议 中 ， 
也 会 发 送 RIP 路 由 信息 。 在 PC-3 上 抓 包 可 以 看 到 同样 的 效果 ， 原 理 和 PC-1 一 样 。 

3. 配置 RIP 抑制 接口 ， 优 化 公司 网 络 

为 了 减少 对 带宽 和 资源 的 浪费 ， 不 让 人 事 部 门 、IT 部 门 和 财务 部 门 的 PC 收 到 大 量 
无 关 RIP 报 文 ， 可 以 采用 抑制 接口 的 方法 来 实现 ， 使 得 该 接口 只 接收 RIP 更 新 报 文 ， 而 
不 发 送 更 新 报 文 。 

在 各 路 由 器 上 使 用 silent-interface 命令 将 相应 接口 配置 成 为 抑制 接口 。 


[Rllrip 1 
[Rl-rip-l1]silent-interface GigabitEthernet 0/0/1 


[R2]rip 1 
[R2-rip-l]silent-interface Ethernet 1/0/1 
[R2-rip-1ljsilent-interface Ethernet 1/0/0 


[R3jrip 1 
[R3-rip-1]silent-interface Ethernet 1/0/1 
[R3-rip-l]jsilent-interface Ethernet 1/0/0 
配置 完成 后 ， 分 别 在 RI、R2、R3 上 使 用 display rip 命令 查看 相关 配置 信息 。 
[Rl-rip-lldisplay rip 1 
Public VPN-instance 
RIP process : 1 


Wn 


BFD : Disabled 
Silent-interfaces : 
GigabitEthernet0/0/1 

Default-route : Disabled 


seers 


可 以 观察 到 ， 配 置 已 经 成 功 。 
配置 完成 后 ， 在 PC-2 的 E0/0/1 接口 上 抓 包 ， 如 图 7-14 所 示 。 








Souree Dereresor Protocel Length lnfo 
/ZUUUULC Huawe Te Uba:4b Spanmng-tree-(ro STp liVMST, Root s J2/O8/UONAC: IT: CC SU Da db Cost = 


1a Uv 

A484 1. 5260000HuaweiTe_SO0i:ba:db Spanning-tree- (foiSTPp 119NMST, Root « 32768/0/4c:1f:cc:S0:ba:db Cost w 0 pol 
485 993,.2260000HuaweiTe_50:ba:4b Spanming-tree-(fosip 119 MST, Roort m 32768/0/4c:1fi:cc: SO:ba:4b Cost » 0 Por| 
486 9959 8700000HuaweiTe S50;ba:d4b Spanning-tree-(fosTP 119 MST. Root 32768/0/4c:1f:cec:SO:baidb Cost =0 por 
487 998, 1100000HwameiTe_50:ba:46 Spanmin0-trec-ffor5TP 119 MST. Root = 32768/0/4c:1f:cec:50:ba:sb Cost = 0 Pol| 
485 1000.278000HuaweiTe S50:ba:4b Spannming-tree-(foiSTP 119 MST, Roor » 32768/0/4c:1Ff:cc: S50:ba:db Cost mw 0 Por 
489 1002,493000HuaweiTe_50:ba:4b Spanning-rree- (fosTPp 119 MST. Root 32768/0/4c:1f:ce:50:ba:db Cost = 0 pol| 
490 1004 . 599000HuaweiTe_50:;ba:4b Spanning-tree-(fosTh 119 MST, Roor 32768/0/4cilf;cc:50:ba;4b Cost = 0 pol| 
491 1006. 799000HuaweiTe_50:ba:4b Spanning-tree- (folSTP Ll19MST. Root » 32768/0/qc:If:cc:50:ba:db cost a 0 Por| 
492 1008, 999000HuaneiTe 50:ba:4b spanning-tree-(foSTPp 119 MST. Roor = 32768/0/4c:1f:ce: S50:ba:ab Cost m0 por| 
493 101}, 367000HuaweiTe_50:ba:4b Spanning-tree- (fosTp 119 MST, Root = 32768/0/4c:1f:ce:S5O0:ba:4b Cost+ = 0 por| 
494 1013. 398000HuaweiTe 50:ba:db Spanning-rree-(foiSTp 119 MST, Root = 32768/0/4c:1f:cec:50:ba:4b Cost = 0 Por 
495 1015, S66000HuaweiTe 50:ba:4b Spanning-tree-(fos1P 119 MST, Root « 32768/0/4c:1f:cc: 50:ba:4b cost wm 0 por| 
Te mm Th 





图 7-14 ” 抓 包 观察 
可 以 观察 到 此 时 PC-2 已 接收 不 到 RIP 的 路 由 更 新 。 在 PC-1 和 PC-3 的 EE0/0/1 接口 
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下 抓 包 ， 效 果 也 一 样 。 

4. 配置 RIP 单 播 更 新 ， 恢 复 网 络 通信 

在 上 一 步骤 中 ， 网 络 管理 员 完 成 了 对 网 络 的 优化 ， 使 所 有 的 PC 都 不 再 接收 与 之 无 
关 的 路 由 更 新 。 而 这 时 各 部 门 员工 却 反映 无 法 相互 间 访 问 ， 也 无 法 访问 外 网 。 

查看 R1 的 路 由 表 。 

[Rlldisplay IP routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 

Destination/Mask Proto pre Cost Flags NextHop Interface 

127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.254 GigabitEthemet0/0/1 
172.16.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
172.16.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
255.255.255.255/32 “Direct 0 0 D 127.0.0.1 InLoopBack0 


可 以 发 现 此 时 R1 获取 不 到 其 他 网 络 的 RIP 路 由 信息 ，R2、R3 路 由 表 同 样 也 接收 不 
到 RIP 路 由 信息 。 原 因 是 在 网 络 管理 员 将 各 路 由 器 的 相应 接口 配置 成 抑制 接口 后 ， 接 口 
将 无 法 以 广播 或 组 播 的 方式 发 送 RIP 更 新 报 文 。 
现在 为 了 让 RIP 网 络 能 够 正常 通信 ， 可 以 通过 增加 RIP 的 单 播 更 新 配置 来 实现 。 通 
过 该 配置 ，RIP 更 新 报 文 会 以 单 播 形 式 发 送 ， 而 不 采用 正常 的 组 播 或 广播 的 形式 。 
在 R1 上 使 用 peer 命令 ， 后 面 跟 上 指定 的 邻居 路 由 器 他 地址， 即 R2 和 R3 与 Rl 
相连 的 直 连 链 路 上 的 中 地 址 。 
[Rlijrip 1 
[Rl1-rip-llpeer 172.16.1.100 
[Rl-rip-l]peer 172.16.1.200 
配置 完成 后 ， 使 用 display rip 命令 在 R1 上 检查 RIP 协议 的 信息 。 
[Rl-rip-l]display rip 1 
Public VPN-instance 
RIP process : 1 
172.16.0.0 
Configured peers : 
172.16.1.200 172.16.1.100 
Number of routes in database : 4 


EE 


可 以 观察 到 邻居 IP 地 址 已 经 配置 成 功 。 

同样 在 R2、R3 上 使 用 peer 命令 ， 配 置 单 播 更 新 。 
[R2]rip 1 

[R2-rip-l]peer 172.16.1.254 

[R2-rip-1]peer 172.16.1.200 


[R3]rip 1 
区 3-rip-1]peer 172.16.1.100 
区 3-rip-1]peer 172.16.1.254 


配置 完成 后 ， 再 次 查看 R1、R2、R3 上 的 路 由 表 。 
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[Ri1ldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 6 Routes :6 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 JInLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.254 GigabitEthernet0/0/1 
172.16.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
172.16.2.0/24 RIP 100 1 D 172.16.1.100 GigabitEthernet0/0/1 
192.168.1.0/24 RIP 100 1 D 172.16.1.200 GigabitEthermnet0/0/1 
[R2]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 7 Routes :7 
Destination/Mask Proto Bre Gost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.100 Ethernet1/0/1 
172.16.1.100/32 “Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.254 Ethernet1/0/0 
172.16.2.254/32 Direct 0 0 D 127.0.0.1 Ethernetl/0/0 
192.168.1.0/24 RIP 100 1 D 172.16.1.200 Ethernet1/0/1 
[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.200 Ethemet1/0/1 
172.16.1.200/32 “Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
172.16.2,0/24 RIP 100 1 D 172.16.1.100 Ethernet1/0/1 
192.168.1.0/24 Direct 0 D 192.168.1.254 Ethernetl1/0/0 
192.168.1.254/32 Direct 0 D 127.0.0.1 Enermenlyon 


可 以 观察 到 此 时 每 台 路 由 器 上 都 已 经 拥有 了 所 有 网 段 的 路 自信 ， 连 通 性 检查 这 里 
省 略 。 现 在 网 络 通信 恢复 正常 ， 并 且 所 有 PC 也 不 会 接收 到 任何 RIP 报 文 。 

5. 验证 另 一 种 抑制 接口 方式 

RIP 协议 中 还 可 以 通过 使 用 undo rip output 命令 来 配置 抑制 接口 , 禁止 接口 发 送 RIP 报 文 。 

首先 将 R3 上 的 现 有 抑制 接口 和 单 播 更 新 的 配置 删除 ， 然 后 在 R3 上 的 EE 1/0/1 接口 
上 配置 undo rip output 命令 ， 禁 止 接口 发 送 RIP 报 文 。 


[R3jrip 1 

[R3-rip-ljundo silent-interface Ethernet 1/0/1 
[R3-rip-lJundo silent-=interface Ethernet 1/0/0 
[R3-rip-l1Jundo peer 172.16.1.100 
[R3-rip-1jundo peer 172.16.1.254 
[R3-rip-l]interface Ethernet1/0/1 
[R3-Ethemet1/0/1]undo rip output 
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配置 完成 后 ， 等 待 一 段 时 间 ， 查 看 R1、R2 路 由 器 的 路 由 表 。 
[Ri-rip-l]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 5 Routes :5 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 JInLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.254 GigabitEthernet0/0/1 
172.16.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
172.16.2.0/24 RIP 100 1 D 172.16.1.100 GigabitEthermet0/0/1 
[R21]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 6 Routes :6 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.100 Ethermnet1/0/1 
172.16.1.100/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.254 Ethernetl/0/0 
172.16.2.254/32 Direct 0 0 了 127.0.0.1 Ethemetl/0/0 


可 以 观察 到 并 没有 R3 上 192.168.1.0 所 在 直 连 网 段 的 路 由 条 目 ， 说 明 R3 上 的 undo 
rip output 命令 已 经 生效 ， 不 再 发 送 任何 RIP 路 由 更 新 。 
在 R3 上 配置 与 Rl 间 的 单 播 更 新 。 


[R31]rip 1 
[R3-rip-l]peer 172.16.1.254 


配置 完成 后 ， 等 待 一 段 时 间 ， 路 由 表 收 敛 后 再 在 R1 上 查看 路 由 表 。 


[RI1-rip-l]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 5 Routes :5 
Destination/Mask Proto pre Coat Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 JInLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.254 GigabitEthernet0/0/1 
172.16.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
172.16.2.0/24 RIP 100 1 D 172.16.1.100 GigabitEthernet0/0/1 


可 以 观察 到 R1 上 仍然 没有 192.168.1.0 的 路 由 条 目 。 由 此 可 以 证 明 使 用 undo rip 
output 命令 来 抑制 接口 ,即使 配置 了 单 播 更 新 也 是 无 法 再 以 单 播 的 形式 发 送 路 由 更 新 的 。 
而 在 上 一 步骤 当中 ， 当 使 用 silent-interface 命令 配置 抑制 接口 后 ， 再 使 用 peer 命令 指定 
邻居 人 P 的 单 播 更 新 目的 地 址 后 ， 单 播 更 新 则 生效 。 

在 接口 下 可 以 使 用 undo rip output 命令 禁止 该 接口 发 送 RIP 报 文 ,也 可 以 使 用 undo 
rip input 命令 来 禁止 接口 接收 RIP 报 文 , 通过 这 两 条 命令 可 以 灵活 地 控制 接口 对 RIP 报 
文 的 发 送 和 接收 (默认 情况 下 是 可 以 接收 和 发 送 RIP 报 文 )。 注意 silent-interface 命令 的 
优先 级 大 于 rip output 或 rip input 命令 的 优先 级 。 
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7.6 ”RIP 与 不 连续 子 网 


原理 概述 


RIP 会 在 主 网 边界 自动 汇总 ， 当 汇总 发 生 时 ， 汇 总 的 子 网 路 由 在 边界 处 被 抑制 掉 ， 
而 仅 通告 主 网 路 由 。 如 果 一 台 路 由 器 上 有 两 个 接口 ， 网 段 分 别 为 10.1.1.0/24 和 
172.16.1.0/24， 那 么 在 这 两 个 网 段 的 主 网 边界 路 由 器 就 会 自动 将 这 两 个 网 段 汇 总 成 
10.0.0.0 和 172.16.0.0， 并 通告 给 其 他 路 由 器 。 如 果 主 网 的 子 网 不 连续 ， 被 其 他 主 网 所 分 
隔 ， 主 网 边界 的 自动 汇总 就 会 存在 问题 。 

连续 子 网 是 指 所 相连 的 子 网 属于 同一 主 网 ， 不 连续 子 网 是 指 相同 主 网 下 的 子 网 被 另 
一 主 网 分 隔 。 


实验 目的 


。 理解 连续 子 网 和 不 连续 子 网 的 概念 

。 掌握 RIPV1 中 解决 不 连续 子 网 问题 的 方法 
。 掌握 RIPv2 中 解决 不 连续 子 网 问题 的 方法 
。 理 解 RIPV1 与 RIPv2 的 区 别 


实验 内 容 


在 某 公 司 的 网 络 整改 项 目 中 ， 原 先 R1 和 R5 属于 同一 主 网 络 10.0.0.0/8， 现 被 R2、 
R3、R4 分 离 ， 整 网 采用 了 RIPvl 协议 ， 发 现在 该 子 网 不 连续 的 环境 下 通信 出 现 了 问题 ， 
现 需要 通过 额外 的 配置 来 解决 这 些 问 题 ， 以 保证 所 有 设备 能 够 互通 。 


实验 拓扑 
RIP 与 不 连续 子 网 的 拓扑 如 图 7-15 所 示 。 
192.168.23.024 0 


Serial 2/0/0 Serial 1/0/1 
RS | 本 下 R4 
Serial 1/0/0 Serial 2/0/1 


Ethernet 1/0/0 Ethernet 1/0/0 
Ethernet 1/0/0 Ethernet 1/0/0 
RI R5 


7-15 ”RIP 与 不 连续 子 网 拓扑 


实验 编 址 
实验 编 址 见 表 7-6。 
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表 7-6 实验 编 址 


设备 IP 地 址 子 网 撞 码 默认 网 关 

R1 (AR1220) Ethernet 1/0/0 10.0.12.1 2535.235.2350 N/A 
R2 CAR1220) rn 1/0/0 10.0.12.2 255.255.255.0 N/A 

Serial 2/0/0 192.168.23.2 235,255,255.0 N/A 
R3 CAR1220) Oia 1/0/0 192.168.23.3 255.255.255:0 N/A 

Serial 1/0/1 192.168.34.3 255,255.255.0 N/A 
R4 CAR1220) Serial 2/0/1 192.168.34.4 255.255.255.0 N/A 
、 Ethernet 1/0/0 10.0.45.4 255.255.255.0 N/A 
RS (AR1220) Ethernet 1/0/0 10.0.45.5 255.255.255.0 N/A 


实验 步骤 
1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 配置 ， 并 使 用 ping 命令 测试 直 连 路 由 器 间 的 连 
[RIlping 10.0.12.2 


PING 10.0.12.2: 56 databytes, press CTRL _C to break 
Reply from 10.0.12.2: bytes=56 Sequence=] ttl=255 time=60 ms 
Reply from 10.0.12.2: bytes=56 Sequence=2 ttl=255 time=20 ms 
Reply from 10.0.12.2: bytes=56 Sequence=3 ttl=255 time=30 ms 
Reply from 10.0.12.2: bytes=56 Sequence=4 ttl=255 time=30 ms 
Reply from 10.0.12.2: bytes=56 Sequence=5 ttl=255 time=50 ms 

--- 10.0.12.2 ping statistics -—- 

5 packet(s) transmitted 
5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 20/38/60 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 组 建 基本 的 RIPV1 网 络 
在 路 由 器 R1、R2、R3、R4、R5 上 配置 RIPvV1。 


[Rl]rip 
[Rl-rip-l]network 10.0.0.0 


[R2]rip 
[R2-rip-l]network 10.0.0.0 
[R2-rip-l lnetwork 192.168.23.0 


[R31]rip 
[R3-rip-l]network 192.168.23.0 
[R3-rip-l]network 192.168.34.0 


[R4]rip 
[R4-rip-1]network 192.168.34.0 
[R4-rip-l]network 10.0.0.0 


[Rs5jrip 
[R5-rip-l]network 10.0.0.0 


配置 完成 后 ， 查 看 R1 的 路 由 表 。 
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[Rl1ldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 6 Routes :6 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 D 10.0.12.1 Ethernet1/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 Ethernetl/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24 RIP 10000 拉 D 10.0.12.2 Ethernetl/0/0 
192.168.34.0/24 RIP 100 2 D 10.0.12.2 Ethernet1/0/0 


在 Rl 的 路 由 表 中 ， 存 在 192.168.23.0/24 和 192.168.34.0/24 两 条 RIP 路 由 条 目 ， 但 
并 不 存在 R4 和 R5 之 间 的 10.0.45.0/24 路 由 条 目 。 
查看 R2 的 路 由 表 。 


[R21]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 


Destination/Mask Proto Pre " Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D 10.0.12.2 Ethernet1/0/0 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24 Direct 0 0 D 192.168.23.2 Serial2/0/0 
192.168.23.2/32 Direct 0 0 D 127.0.0.1 Serial2/0/0 
192.168.23.3/32 “Direct 0 0 D 192.168.23.3 Serial2/0/0 
192.168.34.0/24 RIP 100 1 D 192.168.23,3 Serial2/0/0 


在 R2 的 路 由 表 中 ， 除 10.0.12.0/24 和 192.168.23.0/24 为 直 连 路 由 外 ， 仅 有 
192.168.34.0/24 该 条 路 由 条 目 通过 RIP 接收 ， 却 没有 R4 和 R5 之 间 的 10.0.45.0/24 的 路 
由 条 目 。 

查看 R3 的 路 由 表 。 


[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 9 Routes ; 10 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.0.0/8 RIP 100 1 D 192.168.23.2 Seriall/0/0 
RIP 100 1 D 192.168.34,4 Seriall/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24 Direct 0 0 D 192.168.23.3 Seriall/0/0 
192.168.23.2/32 Direct 0 0 D 192.168.23.2 Seriall/0/0 
192.168.23.3/32 “Direct 0 0 D 127.0.0.1 Seriall/0/0 
192.168.34.0/24 Direct 0 0 BD 192.168.34.3 Seriall/0/1 
192.168.34.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/1 
192.168.34.4/32 Direct 0 0 D 192.168.34.4 Seriall/0/1 


在 R3 的 路 由 表 中 , 除了 192.168.23.0/24 和 192.168.34.0/24 这 两 个 子 网 是 直 连 之 外 ， 
分 别 通 过 R2 和 R4 接收 到 了 两 条 相同 的 10.0.0.0/8 的 主 网 路 由 条 目 ， 而 并 非 现 网 拓扑 中 
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的 10.0.12.0/24 和 10.0.45.0/24 两 条 子 网 路 由 。 
导致 这 种 情况 的 原因 是 : 由 于 采用 了 RIPv1， 在 R2 和 R4 分 别 接收 到 10.0.12.0/24 
和 10.0.45.0/24 的 路 由 条 目 时 ， 默 认 打 开 了 自动 有 类 汇总 功能 ， 所 以 在 主 网 边界 向 外 发 
送 路 由 信息 的 时 候 都 汇总 成 了 10.0.0.0/8, 发送 给 R3， 最 终 在 R3 上 由 于 接收 到 了 两 条 目 
的 网 段 相 同 、 代 价值 也 相同 的 路 由 条 目 。 
那么 既然 此 时 在 R3 的 路 由 表 中 存在 有 10.0.0.0/8 的 路 由 ， 在 R3 上 测试 与 R1 和 R5 
的 连通 性 。 
[R3]ping 10.0.45.5 
PING 10.0.45.5: 56 data bytes, press CTRL C to break 
Reply from 10.0.45.5: bytes=56 Sequence=l ttl=254 time=80 ms 
Reply from 10.0.45.5: bytes=56 Sequence=2 ttl=254 time=40 ms 
Reply from 10.0.45.5: bytes=56 Sequence=3 ttl=254 time=80 ms 
Reply from 10.0.45.5: bytes=56 Sequence=4 tt]=254 time=80 ms 
Reply from 10.0.45.5: bytes=56 Sequence=5 ttl=254 time=80 ms 
--- 10.0.45.5 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 40/72/80 ms 


[R3]ping 10.0.12.1 
PING 10.0.12.1: 56 data bytes, press CTRL C to break 
Requesttime out 
Request time out 
Request time out 
Request time out 
Request time out 
--- 10.0.12.1 ping statistics --- 
5 packet(s) transmitted 
0 packet(s) received 
100.00% packet loss 
发 现 此 时 呈现 出 有 一 端 无 法 通信 的 现象 。 在 R3 发 送 ICMP 报 文 的 时 候 ， 会 根据 路 
由 表 进 行 匹配 ， 即 匹配 10.0.0.0/8, 那么 最 终 报 文 流 量 可 能 会 出 现 R3 将 本 该 要 发 送 给 R1 
的 ICMP 报 文 错误 地 转发 给 了 R4， 导 致 无 法 通信 。 
现在 每 台 设 备 上 的 路 由 表 中 没有 清晰 地 反馈 出 拓扑 中 的 真实 子 网 信息 ， 这 是 由 于 在 
RIPv1 默认 自动 汇总 开启 的 情况 下 ， 设 计 网 络 时 没有 遵循 主 网 的 子 网 应 该 连续 这 一 要 求 
所 致 ， 解 决 的 办 法 视 路 由 器 所 使 用 的 RIP 版 本 (v1 还 是 v2) 而 有 所 不 同 。 
3. RIPv1 中 解决 不 连续 子 网 问题 
路 由 器 上 所 运行 RIP 协议 的 默认 版 本 是 v1， 自动 汇总 无 法 关闭 ， 所 以 上 面 不 连续 子 
网 所 带 来 的 问题 ， 不 能 通过 关闭 自动 汇总 来 解决 。 但 如 果 把 不 连续 的 子 网 转变 成 连续 的 
子 网 ， 问 题 就 可 以 解决 ， 办 法 是 给 接口 配置 第 二 个 人 P 地 址 ，IP 地 址 取 10.0.0.0/8 主 网 的 
子 网 。 
在 路 由 器 R2 上 的 S 2/0/0 接口 上 配置 从 IP 地 址 ， 只 要 在 常规 配置 IP 地址 的 命令 之 
后 加 上 sub 参数 即 可 。 
[R2]interface serial 2/0/0 
[R2-Serial2/0/0]ip address 10.0.23.2 24 Sub 
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同 理 ， 在 R3 和 R4 上 也 做 相应 配置 ， 并 在 R3 的 RIP 进程 中 添加 10.0.0.0 网 段 。 
[R3]interface serial 1/0/0 

[R3-Seriall/0/0]ip address 10.0.23.3 24 sub 

[R3-Seriall/0/0linterface serial 0/0/1 

[R3-Seriall/0/1 lip address 10.0.34.3 24 sub 

[R3-Seriall/0/1]rip 

[R3-rip-l]network 10.0.0.0 


[Rd4]jinterface serial2/0/1 
[R4-Serial2/0/1]ip address 10.0.34.4 24 sub 


经 过 这 样 的 配置 之 后 ， 相 当 于 原先 在 整 网 拓扑 中 被 孤立 的 两 个 不 连续 子 网 
10.0.12.0/24 和 10.0.45.0/24 网 段 被 新 添加 的 子 网 10.0.23.0/24 和 10.0.34.0/24 网 段 连 接 了 
起 来 ， 即 现在 已 经 构成 了 一 个 连续 的 子 网 。 

配置 完成 后 ， 观 察 每 台 路 由 器 的 路 由 表 。 

[R1lldisplay ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 10 Routes : 10 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.0.0/8 RIP 100 1 D 10.0.12.2 Ethernetl/0/0 
10.0.12.0/24 Direct 0 0 D 10.0.12.1 Ethernet1/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
10.0.23,0/24 RIP 100 1 D 10.0.12.2 Ethemetl/0/0 
10.0.34.0/24 RIP 100%2 D 10.0.12.2 Ethernetl/0/0 
10.0.45.0/24 RIP 100 3 D 10.0.12.2 Ethernet1/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24 RIP 100 1 D 10.0.12.2 Ethemet1/0/0 
192.168.34.0/24 RIP 100 2 D 10.0.12,2 Ethernet1/0/0 
[R21]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 13 Routes ; 15 
Destination/Mask Proto Pre ‘Gost Flags NextHop Interface 
10.0.0.0/8 RIP 100, “1 D 10.0.23.3 Serial2/0/0 
RIP 100 1 D 192.168.23.3 Serial2/0/0 
10.0.12.024 Direct 0 0 D 10.0.12.2 Ethernet1/0/0 
10.0.12.2/32 Direct 0 0 D 127.0.0.1 Ethemet1/0/0 
10.0.23.0/24 Direct 0 0 D 10.0.23.2 Serial2/0/0 
10.0.23.2/32 Direct 0 0 D 127.0.0.1 Serial2/0/0 
10.0.34.0/24 RIP i100 由 D 10.0.23.3 Serial2/0/0 
10.0.45.0/24 RIP 100 2 D 10.0.23,3 Serial2/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24 Direct 0 0 D 192.168.23.2 Serial2/0/0 
192.168.23.2/32 Direct 0 0 D 127.0.0.1 Serial2/0/0 
192.168.23.3/32 “Direct 0 0 D 192.168.23.3 Serial2/0/0 
192.168.34.0/24 RIP 100 1 D 192,168.23.3 Serial2/0/0 
RIP 100 1 D 10.0.23.3 Serial2/0/0 
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[R3]display ip routing-table 
Route Flags: R - relay, D - downloadto fib 


Routing Tables: Public 


Destinations : 15 Routes : 16 
Destination/Mask Proto Pre oat Flags NextHop Interface 
10.0.0.0/8 RIP TO00O D 192.168.23.2 Seriall/0/0 
RIP 100 1 D 192.168.34.4 Seriall/0/1 
10.0.12.0/24 RIP 100 1 D 10.0.23.2 Seriall/0/0 
10.0.23.0/24 Direct 0 0 D 10.0.23.3 Seriall/0/0 
10.0.23.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
10.0.34.0/24 Direct 0 0 D 10.0.34.3 Seriall/0/1 
10.0.34.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/1 
10.0.45.0/24 RIP 100 1 D 10.0.34.4 Seriall/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24 Direct 0 0 D 192.168.23.3 Seriall/0/0 
192.168.23.2/32 Direct 0 0 D 192.168.23.2 Seriall/0/0 
192.168.23.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
192.168.34.0/24 Direct 0 0 D 192.168.34.3 Seriall/0/1 
192.168.34.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/1 
192.168.34.4/32 Direct 0 0 D 192.168.34.4 Seriall/0/1 


[R4ldisplay ip routing-table 
Route Flags: R = relay, D - download to fib 


Routing Tables: Public 


Destinations : 13 Routes : 15 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.0.0/8 RIP 100 1 D 192.168.34.3 Serial2/0/1 
RIP 100 1 D 10.0,34.3 Serial2/0/1 
10.0.12.0/24 RIP 100 2 D 10.0.34.3 Serial2/0/1 
10.0.23.0/24 RIP 100 1 D 10.0.34.3 Serial2/0/1 
10.0.34.0/24 Direct 0 0 D 10.0.34.4 Serial2/0/1 
10.0.34.4/32 Direct 0 0 D 127.0.0.1 Serial2/0/1 
10.0.45.0/24 Direct 0 0 D 10.0.45.4 Ethernet1/0/0 
10.0.45.4/32 Direct 0 0 D 127.0.0.1 Ethernetl1/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24 RIP 100901 D 192.168.34.3 Serial2/0/1 
RIP 100 1 D 10.0.34.3 Serial2/0/1 
192.168.34.0/24 Direct 0 0 D 192.168.34.4 Serial2/0/1 
192.168.34.3/32 Direct 0 0 D 192.168.34.3 Serial2/0/1 
192.168.34.4/32 Direct 0 0 D 127.0.0.1 Serial2/0/1 
[Rsjdisplay ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 10 Routes : 10 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.0.0/8 RIP 100 1 D 10.0.45.4 Ethemet1/0/0 
10.0.12.0/24 RIP 100 3 D 10.0.45.4 Ethernetl/0/0 
10.0.23.0/24 RIP 100 2 D 10.0.45.4 Ethemet1/0/0 
10.0.34.0/24 RIP 100 1 D 10.0.45.4 Ethernet1/0/0 
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10.0.45.0/24 Direct 0 0 D 10.0.45,5 Ethernet1/0/0 
10.0.45.5/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24 100 2 D 10.0.45.4 Ethernet1/0/0 
192.168.34.0/24 100 1 D 10.0.45.4 Ethernetl/0/0 


此 时 发 现在 每 台 路 由 器 的 路 由 表 中 都 拥有 了 所 有 的 子 网 信息 。 其 中 在 R2 上 ， 由 于 
R3 的 S 0/0/0 接口 配置 了 第 二 IP 地 址 , 所 以 下 一 跳 为 R3 的 S 0/0/0 接口 的 路 由 条 目 会 出 
现 两 个 下 一 跳 地 址 。 
在 Rl1 上 测试 与 R5 之 间 的 连通 性 。 
[Rlljping 10.0.45.5 
PING 10.0.45.5: 56 data bytes, press CTRL C to break 
Reply from 10.0.45.5: bytes=56 Sequence=] ttl=252 time=110 ms 
Reply from 10.0.45.5: bytes= =56 Sequence=2 ttl=252 time=140 ms 
Reply from 10.0.45.5: bytes=56 Sequence=3 ttl=252 time=80 ms 
Reply from 10.0.45.5: bytes=56 Sequence=4 ttl=252 time=100 ms 
Reply from 10.0.45.5: bytes=56 Sequence=5 ttl=252 time=90 ms 
-一 10.0.45.5 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 80/104/140 ms 
上 述 做 法 通过 在 不 连续 的 子 网 之 间 的 链 路 上 配置 相同 主 网 的 子 网 PP 地 址 , 即 采用 配 
置 从 IP 地 址 的 方式 来 实现 子 网 的 连续 性 , 解决 了 因为 自动 汇总 发 生 后 , 子 网 路 由 被 抑制 
掉 而 导致 的 子 网 不 可 达 。 此 种 做 法 优点 是 RIPv1l 在 不 做 大 的 拓扑 结构 调整 的 前 提 下 ， 仅 
靠 配置 第 二 个 IP 地 址 就 解决 了 不 连续 子 网 问题 ， 不 足 之 处 是 需要 配置 第 二 个 IP 地 址 ， 
要 消耗 掉 多 个 子 网 网 段 。 
4. RIPvV2 中 解决 不 连续 子 网 问题 
如 果 路 由 器 运行 的 是 RIPv2， 则 可 以 直接 关闭 自动 汇总 ,， 子 网 是 否 连 续 就 不 重要 了 ， 
因为 RIPv2 会 直接 通告 相应 的 子 网 路 由 。 
删除 上 一 步骤 中 的 从 IP 地 址 配置 命令 ， 并 在 所 有 路 由 器 中 将 RIP 的 版 本 配置 为 2， 
且 关 闭 自动 汇总 。 
[Rllrip 
[Rl-rip-l]version 2 
[Rl-rip-ljundo summary 


[R2]interface serial 2/0/0 

[R2-Serial2/0/0]undo ip address 10,0.23.2 24 sub 
[R2-Serial2/0/0]rip 

[R2-rip-l]version 2 

[R2-rip-l1]jundo summary 


[R3]interface serial 1/0/0 

[R3-Seriall/0/0]jundo ip address 10.0.23,3 24 sub 
[R3-Seriall/0/0]interface serial 1/0/1 
[R3-Seriall/0/1jundo ip address 10.0.34.3 24 sub 
[R3-Seriall/0/1]rip 

[R3-rip-] ]version 2 
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[R3-rip-llundo summary 


区 4]jinterface serial 2/0/1 

[R4-Serial2/0/1lundo ip address 10.0.34.4 24 sub 
[R4-Serial2/0/1]rip 

[R4-rip-l]version 2 

[IR4-rip-l]jundo summary 


[R5]rip 
[R5-rip-1]version 2 
[RS5-rip-l]jundo summary 
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配置 完成 后 ， 观 察 每 台 路 由 器 上 的 路 由 表 。 


[Rlldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 

Destination/Mask Proto Pre Cost 
10.0.12.0/24 Direct 0 0 
10.0.12.1/32 Direct 0 0 
10.0.45.0/24 RIP 100 3 
127.0.0.0/8 Direct 0 0 
127.0.0.1/32 Direct 0 0 
192.168.23.0/24 RIP 100 1 
192.168.34.0/24 RIP 100 2 

[R2]display ip routing-table 


Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 9 Routes :9 

Destination/Mask Proto Pre Cost 
10.0.12.0/24 Direct 0 0 
10.0.12.2/32 Direct 0 0 
10.0.45.0/24 RIP 100 2 
127.0.0.0/8 ”Direct 0 0 
127.0.0.1/32 Direct 0 0 
192.168.23.0/24 Direct 0 0 
192.168.23,2/32 Direct 0 0 
192.168.23.3/32 Direct 0 0 
192.168.34.0/24 RIP 100 1 

[R3]display ip routing-table 


Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 10 Routes : 10 
Destination/Mask Proto Pre Cost 
10.0.12.0/24 RIP 100 1 
10.0.45.0/24 RIP 100 1 
127.0.0.0/8 Direct 0 0 
127.0.0.1/32 Direct 0 0 
192.168.23.0/24 Direct 0 0 
192,168.23.2/32 Direct 0 0 


Flags 


= 属 - 旺 = 性 = 时 二 生 =， 


NextHop 
10.0.12.1 
127.0.0.1 
10.0.12.2 
127.0.0.1 
127.0.0.1 
10.0.12.2 
10.0.12.2 


NextHop 
10.0.12.2 
127.0.0.1 
192.168.23.3 
127.0.0.1 
127.0.0.1 
192.168.23.2 
127.0.0.1 
192.168.23.3 
192.168.23.3 


NextHop 
192.168.23.2 
192.168.34.4 
127.0.0.1 
127.0.0.1 
192.168.23.3 


“192,168.23.2 


Interface 
Etheretl/0/0 
Ethernet1/0/0 
Ethernetl/0/0 
InLoopBack0 
InLoopBack0 
Ethernet1/0/0 
Ethernet1/0/0 


Interface 
Ethemet1/0/0 
Ethermet1/0/0 
Serial2/0/0 
InLoopBack0 
InLoopBack0 
Serial2/0/0 
Serial2/0/0 
Serial2/0/0 
Serial2/0/0 


Interface 
Seriall/0/0 
Seriall/0/1 
InLoopBack0 
InLoopBack0 
Seriall/0/0 
Seriall/0/0 
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192.168.23.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
192.168.34.0/24 Direct 0 0 D 192,168.34.3 Seriall/0/1 
192.168.34.3/32 Direct 0 0 D 127.0.0.1 Seriall/0/1 
192.168.34.4/32 Direct 0 0 D 192.168.34.4 Seriall/0/1 
[R4ldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations ; 9 Routes :9 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 RIP 100 2 D 192.168.34.3 Serial2/0/1 
10.0.45.0/24 Direct 0 0 D 10.0.45.4 Ethernet1/0/0 
10.0.45.4/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24 RIP 100 1 D 192.168.34.3 Serial2/0/1 
192.168.34.0/24 Direct 0 0 D 192.168.34.4 Serial2/0/1 
192.168.34.3/32 Direct 0 0 D 192.168.34.3 Serial2/0/1 
192.168.34.4/32 Direct 0 0 D 127.0.0.1 Serial2/0/1 
[RS]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 RIP 100 3 D 10.0.45.4 Ethernet1/0/0 
10.0.45.0/24 Direct 0 0 D 10.0.45.5 Ethernet1/0/0 
10.0.45.5/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.23.0/24 二 100 2 D 10.0.45.4 Ethernet1/0/0 
192.168.34.0/24 100 1 D 10.0.45.4 Ethernet1/0/0 


可 以 看 到 在 所 有 路 由 表 中 都 没有 汇总 路 由 10.0.0.008 ， 并 且 10.0.45.0/24 和 
10.0.12.0/24 子 网 出 现在 所 有 的 路 由 表 中 。 
测试 R1、R5 间 的 连通 性 。 
[Rlljping 10.0.45.5 
PING 10.0.45.5: 56 data bytes, press CTRL C to break 
Reply from 10.0.45.5: bytes=56 Sequence=1 ttl=252 time=90 ms 
Reply from 10.0.45.5; bytes=56 Sequence=2 ttl=252 time=130 ms 
Reply from 10.0.45,5; bytes=56 Sequence=3 ttl=252 time=90 ms 
Reply from 10.0.45.5: bytes=56 Sequence=4 ttl=252 time=110 ms 
Reply from 10.0.45.5: bytes=56 Sequence=5 ttl=252 time=90 ms 
--- 10.0.45.5 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avyg/max = 90/102/130 ms 


在 RIPV2 的 环境 中 ， 因 为 默认 情况 下 自动 汇总 是 开启 的 ， 所 以 在 设计 网 络 时 ， 应 尽 
量 不 要 出 现 同 主 网 的 子 网 被 其 他 主 网 分 隔 的 情况 。 如 果 出 现 了 ， 关 闭 自动 汇总 是 最 佳 的 
做 法 ， 不 足 之 处 是 路 由 表 中 路 由 条 目 会 增加 。 
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思考 


在 使 用 RIPvl 的 环境 中 ，R2、R3 和 R4 都 配置 了 第 二 个 IP 地 址 ，10.0.0.0/8 的 子 网 
已 经 连续 ， 如 果 R2 是 主 网 边界 ， 为 什么 R3 还 能 看 到 10.0.12.0/24 的 子 网 ? 如 果 R2 不 
是 主 网 边界 ， 为 什么 在 R3 的 路 由 表 里 能 看 到 10.0.0.0/8 的 汇总 路 由 ? 


7.7 RIP 的 水 平分 割 及 触发 更 新 


原理 概述 


水 平分 割 〈Split Horizon) 指 的 是 RIP 从 某 个 接口 接收 到 的 路 由 信息 ,不 会 从 该 接口 
再 发 回 给 邻居 设备 。 这 样 不 但 减少 了 带宽 消耗 ， 还 可 以 防止 路 由 环 路 。 在 华为 设备 上 ， 
水 平分 割 功 能 默认 情况 下 是 开启 的 。 

触发 更 新 (Triggered Updates) 的 原理 是 ， 当 路 由 信息 发 生变 化 时 ， 运 行 RIP 的 设备 
会 立即 向 邻居 设备 发 送 更 新 报 文 ， 而 不 必 等 待定 时 更 新 ， 从 而 缩短 了 网 络 收敛 时 间 。 在 
华为 设备 上 ， 没 有 相关 命令 能 主动 关闭 触发 更 新 的 功能 。 

毒性 逆转 (Poison Reverse) 指 的 是 RIP 从 某 个 接口 接收 到 路 由 信息 后 ， 将 该 路 由 的 
开销 设置 为 16〈 即 该 路 由 不 可 达 )， 并 从 原 接口 发 回 邻居 设备 。 利 用 这 种 方式 ， 可 以 清 
除 对 方 路 由 表 中 的 无 用 路 由 。 如 果 同 时 都 配置 了 毒性 逆转 和 水 平分 制 ， 水 平分 割 行为 会 
被 毒性 逆转 行为 代替 。 在 华为 设备 上 ， 毒 性 逆转 功能 默认 情况 下 是 关闭 的 ， 需 要 手动 打 
开 此 功能 。 

毒性 逆转 可 以 快速 清除 无 用 的 路 由 而 不 必 等 待 老化 时 间 ， 另 外 ， 在 帧 中 继 和 X.25 
等 非 广 播 多 路 访问 网 络 中 ， 如 果 开 启 了 水 平分 割 功 能 ， 会 造成 有 的 路 由 器 无 法 接收 到 更 
新 路 由 的 情况 ， 因 此 在 这 种 网 络 中 ， 水 平分 割 是 默认 禁止 的 ， 我 们 需要 手动 开启 毒性 逆 
转 防 止 路 由 环 路 。 

RIPv1 和 RIPv2 都 支持 水 平分 制 、 和 触发 更 新 和 毒性 逆转 功能 。 


实验 目的 


。 掌握 RIP 触发 更 新 的 原理 

。 掌握 RIP 中 触发 更 新 与 等 待 老化 时 间 的 现象 差别 

。 掌握 RIP 水 平分 割 的 原理 和 配置 

。 掌握 开启 水 平分 割 与 关 掉 水 平分 割 时 路 由 条 目的 变化 
。 掌握 毒性 逆转 原理 和 配置 


实验 内 容 
本 实验 模拟 企业 网 络 场景 。R1 为 该 公司 出 口 网 关 路 由 器 ， 连 接 运营 商 网 络 ，R2 为 


公司 IT 部 门路 由 器 ， 通 过 交换 机 S2 与 网 关 相 连 ， 同 时 公司 人 力 资 源 部 路 由 器 R3 也 通 
过 交换 机 S1 与 网 关 相 连 ， 所 有 路 由 器 运行 路 由 协议 RIPv2 实现 公司 整 网 互通 。 当 R3 与 
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S1 之 间 链 路 down 掉 时 R1 不 会 触发 更 新 , 网 络 收敛 较 慢 ; 而 当 R1 与 S1 之 间 链 路 down 
掉 时 ，R1 会 触发 更 新 ， 网 络 收敛 快 。 华 为 路 由 器 默认 开启 RIP 水 平分 割 功能 ， 当 主动 关 
掉 路 由 器 上 水 平分 割 功能 时 ， 检 查 路 由 器 发 送 RIP 路 由 条 目的 变化 。 手 动 开 启 毒 性 逆转 
功能 ， 检 查 路 由 器 发 送 RIP 路 由 条 目的 变化 。 


实验 拓扑 
RIP 的 水 平分 割 及 触发 更 新 的 拓扑 如 图 7-16 所 示 。 


Ethernet 0/0/1 FE GE 0/0/l 







GE 0/0/1 





GE 0/0/2 









GE 0/0/0 


GE 0/0/2 


Ethernet 0/0/] 







GE 0/0/1 





Ethernet 1/0/0 本 GE 0/0/1 








PC-l 2 | je 
图 7-16 ”RIP 的 水 平分 割 及 触发 更 新 拓扑 
实验 编 址 
实验 编 址 见 表 7-7。 
表 7-7 实验 编 址 


设备 IP 地 址 子 网 挤 码 默认 网 关 
GE 0/0/0 172,16.,1,1 253.255.255,0 N/A 
RK 220» GE 0/0/2 172.16.2.1 255.255.255:0 N/A 
GE 0/0/1 172,.16.2.2 255.255,255:0 N/A 
BA Ethernet 1/0/0 192.168.2.254 255.255.255.0 N/A 
GE 0/0/1 172.16.12 253.255.2550 N/A 
| GEON | 
Aa Ethernet 1/0/0 192.168.1.254 255.255.255.0 N/A 
PC-1 Ethernet 0/0/1 192.168.2.1 255.255.255,0 192.168.2.254 
PC-2 Ethernet 0/0/1 192.168.1.1 255.255.255.0 192.168.1.254 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
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连通 性 o 
[Rilping -e 1 172.16.1.2 
PING 172.16.1.2: 56 data bytes, press CTRL C to break 
Reply from 172.16.1.2: bytes=56 Sequence=] ttl=255 time=80 ms 
--- 172,16.,1.2 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 80/80/80 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 RIP 网 络 
根据 图 7-16， 在 R1I、R2、R3 上 配置 RIP 协议 ， 并 将 相应 网 段 通告 进 RIP 协议 中 。 


BRljrip 1 
[Rl1-rip-l]version 2 
[Rl-rip-l]network 172.16.0.0 


[R2Irip 1 

[R2-rip-l]version 2 
[R2-rip-1jnetwork 192.168.2.0 
[R2-rip-ilnetwork 172.16.0.0 


[R3]ripl 

[R3-rip-l]version 2 
[R3-rip-l]network 172.16.0.0 
[R3-rip-l lnetwork 192.168.1.0 


配置 完成 后 ， 查 看 R1 的 路 由 表 。 
BRljdisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.1 GigabitEthernet0/0/0 
172.16.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
172,16,2.0/24 Direct 0 0 D 172.16.2.1 GigabitEthernet0/0/2 
172.16.2.1/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/2 
192.168.1.0/24 RIP 100 1 D 172.16.1.2 GigabitEthernet0/0/0 
192.168.2.0/24 RIP 100 1 D 172.16.2.2 GigabitEthernet0/0/2 
可 以 观察 到 ，R1 已 经 正常 获取 到 了 PC-1 与 PC-2 所 在 网 段 的 RIP 路 由 信息 。R2、 
R3 上 的 查看 过 程 省 略 。 
3， 验 证 触发 更 新 
断 掉 R3 与 S1 之 间 的 链 路 〈 在 模拟 器 上 直接 删除 该 链 路 )， 然 后 查看 R2 的 路 由 表 。 
区 2]jdisplay ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 


127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
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127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 RIP 100 1 D 172.16.2.1 GigabitEthernet0/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.2 GigabitEthernet0/0/1 
172.16:2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.1.0/24 RIP 00M D 172.16.2.1 GigabitEthernet0/0/1 
192.168.2.0/24 Direct 0 0 D 192.168.2.254 ”Ethernet1/0/0 
192.168.2.254/32 Direct 0 D 127.0.0.1 Ethernet1/0/0 


可 以 观察 到 192.168.1.0 网 段 的 路 由 信息 仍然 存在 。 这 是 因为 断 掉 的 不 是 R1 的 直 连 
接口 ，R1 此 时 无 法 直接 感知 到 故障 的 发 生 ， 路 由 条 目 需 要 等 180s 的 老化 计时 器 超时 后 ， 
此 路 由 条 目 才 会 在 路 由 表 中 删除 。 

等 待 180s 老化 时 间 后 ， 查 看 R2 的 路 由 表 。 


[R21]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 
Destination/Mask Proto Pre Gost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 RIP 100 1 D 172.16.2.1 GigabitEthernet0/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.2 GigabitEthernet0/0/1 
172.16.2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.2.0/24 Direct 0 0 D 192.168.2.254 Ethernet1/0/0 
192.168.2.254/32 Direct 0 D 127.0.0.1 Ethernet1/0/0 


可 以 观察 到 此 时 192. i 1.0 网 段 的 路 由 信息 已 经 从 路 由 表 中 删除 。 
恢复 R3 与 $1 之 间 的 链 路 (在 模拟 器 上 重新 连 线 )， 并 在 R2 的 路 由 表 正 常 后 ， 断 掉 
R1 与 Sl 之 间 的 链 路 ， 查 看 R2 路 由 表 。 


[R21]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 6 Routes :6 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 JInLoopBack0 
127.0.0.1/32 Direct 0 D 127.0.0.1 InLoopBack0 
172.16.2.0/24 Direct 0 0 D 172.16.2.2 GigabitEthernet0/0/1 
172.16.2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.2.0/24 Direct 0 0 D 192.168.2.254 ”了 Ethernet1/0/0 
192.168.2.254/32 Direct0 0 D 127.0.0.1 Ethernet1/0/0 


可 以 观察 到 192.168.1.0 网 段 的 路 由 信息 已 经 不 存在 , 因为 断 掉 的 是 R1 的 直 连 接口 ， 
所 以 R1 能 够 直接 感知 到 链 路 发 生 故障 ， 在 路 由 表 删 除 192.168.1.0 的 路 由 同时 ， 并 会 触 
发 更 新 ， 使 得 R2 上 的 路 由 表 为 最 新 状态 。 

4. 验证 水 平分 害 

在 R2 上 使 用 debugging rip 1 send GigabitEthernet 0/0/1 命令 打开 debug 功能 ， 再 


用 terminal monitor、terminal debugging 命令 查看 R2 发 送 给 R1 的 路 由 条 目 。 
<R2>debugging rip 1 send GigabitEthemet 0/0/I 
<R2>terminal monitor 
<R2>terminal debugging 
<R2> 
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Jun 19 2013 19:17:59.640.1-08:00 R2 RIP/7/DBG: 6: 12227: RIP 1: Sending response 

on interface GigabitEthemet0/0/1 from 172,16.2.2 to 224.0.0.9 

Jun 19 2013 19:17:59.640.2-08:00 R2 RIP/7/DBG: 6: 12247: Packet: Version 2, Cmd response, Length 24 

Jun 19 2013 19:17:59.640.3-08:00 R2 RIP/7/DBG: 6: 12315: Dest 192.168.2.0/24, Nexthop 0.0.0.0, Cost 1, Tag 0 


从 debug 的 信息 中 可 以 观察 到 R2 发 送 给 R1 的 路 由 条 目 中 没有 包含 192.168.1.0 网 
段 的 路 由 信息 ， 因 为 该 路 由 条 目 是 从 Rl 始 发 过 来 的 。 

下 面 关闭 debug， 并 在 R2 的 GE 0/0/1 和 Rl 的 GE 0/0/2 接口 下 使 用 undo rip 
split-horizon 命令 关闭 水 平分 割 功 能 。 

<R2>undo debugging al 

<R2>system-view 

[R2]interface GigabitEthernet0/0/1 

[R2-GigabitEthernet0/0/1]undo rip split-horizon 


[Rllinterface GigabitEthernet0/0/2 
[Rl-GigabitEthemet0/0/2jundo rip split-horizon 


配置 完成 后 查看 debug 信息 。 


<R2>debugging rip 1 send GigabitEthernet 0/0/1 

<R2>terminal monitor 

<R2>terminal debugging 

Jun 19 2013 19:21:53.910.4-08:00 R2 RIP/7/DBG: 6: 12315: Dest 172.16.0.0/16, Next 

hop 0.0.0.0, Cost 1, Tag 0 

Jun 19 2013 19:21:53.910.5-08:00 R2 RIP/7/DBG: 6: 12315: Dest 192.168.1.0/24, Nexthop 0.0.0.0, Cost 3, Tag 0 
Jun 19 2013 19:21:53.910.6-08:00 R2 RIP/7/DBG: 6: 12315: Dest 192,168.2.0/24, Nexthop 0.0.0.0, Cost 1, Tag 0 


从 debug 信息 中 可 以 观察 到 R2 发 送 给 R1 的 路 由 条 目 中 包含 有 192.168.1.0 网 段 ， 
此 时 接口 上 的 水 平分 割 功能 不 生效 。 

5.， 验 证 毒性 逆转 

关闭 debug， 并 在 R2 的 GE 0/0/1 接口 下 恢复 水 平分 割 功能 。 


<R2>undo debugging all 

<R2>system-view 

[R2]interface GigabitEthemet0/0/1 

[R2-GigabitEthernet0/0/1]rip split-horizon 

配置 完成 后 ， 在 R2 上 开启 debug 功能 。 

<R2>debugging rip 1 send GigabitEthernet 0/0/1 

<R2>terminal monitor 

<R2>terminal debugging 

<R2> 

Jun 19 2013 19:28:06.720.1-08:00 R2 RIP/7T/DBG: 6: 12227: RIP 1: Sending response 

on interface GigabitEthernet0/0/] from 172.16.2.2 to 224.0.0.9 

Jun 19 2013 19:28:06.720.2-08:00 R2 RIP/7/DBG: 6: 12247: Packet: Version 2, Cmd response, Length 24 
Jun 19 2013 19:28:06.720.3-08:00 R2 RIP/7/DBG: 6: 12315: Dest 192.168.2.0/24, Nexthop 0.0.0.0, Cost 1, Tag 0 


通过 debug 信息 可 以 观察 到 ， 此 时 开启 了 水 平分 割 后 ，R2 发 送 给 R1 的 路 由 条 目 中 
没有 包含 192.168.1.0 网 段 。 

关闭 debug， 并 在 R2 的 GE 0/0/1 接口 下 使 用 rip poison-reverse 命令 开启 毒性 
逆转 功能 。 

<R2>undo debugging all 

<R2>system-view 

[R2]interface GigabitEthernet0/0/1 

[R2-GigabitEthernet0/0/1]rip poison-reverse 


配置 完成 后 ， 查 看 debug 信息 。 
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<R2>debugging rip 1 send GigabitEthernet 0/0/1 

<R2>terminal monitor 

<R2>terminal debugging , 

Jun 19 2013 19:30:00.520.2-08:00 R2 RIP/7/DBG: 6: 12247: Packet: Version 2, Cmdr * esponse, Length 64 

Jun 19 2013 19:30:00.520.4-08:00 R2 RIP/7/DBG: 6: 12315: Dest 192.168.1.0/24, Nexthop 172.16.2.1, Cost 16, Tag 0 
Jun 19 2013 19:30:00.520.5-08:00 R2 RIP/7/DBG: 6: 12315: Dest 192.168.2.0/24, Nexthop 0.0.0.0, Cost 1, Tag 0 


可 以 观察 到 ，R2 发 送 给 Rl1 的 路 由 条 目 中 包含 了 192.168.1.0 网 段 ， 但 是 cost 值 为 
16。 说 明 在 毒性 逆转 和 水 平分 割 同 时 开启 的 情况 下 ， 简 单 的 水 平分 割 行为 〈 从 某 接口 学 
到 的 路 由 再 从 这 个 接口 发 布 时 将 被 抑制 ) 会 被 毒性 逆转 行为 代替 。 


思考 


水 平分 割 可 以 防止 环 路 ， 那 为 什么 RIP 协议 还 需要 其 他 防 环 机 制 ? 水 平分 割 的 局 限 
性 在 哪儿 ? 


7.8 配置 RIP 路 由 附加 度量 值 


原理 概述 


路 由 附加 度量 值 是 在 RIP 路 由 原来 度量 值 的 基础 上 所 增加 或 减少 的 度量 值 ( 跳 数 )。 
对 于 RIP 接收 和 发 布 路 由 ， 可 通过 不 同 的 命令 配置 附加 度量 值 更 加 灵活 地 控制 RIP 的 路 
由 选择 。 

rip metricin 命令 用 于 在 接收 到 路 由 后 , 给 其 增加 一 个 附加 度量 值 , 再 加 入 路 由 表 中 ， 
使 得 路 由 表 中 的 度量 值 发 生变 化 .运行 该 命令 会 影响 到 本 地 设备 和 其 他 设备 的 路 由 选择 。 

rip metricout 命令 用 于 自身 路 由 的 发 布 ， 发 布 时 增加 一 个 附加 的 度量 值 ， 但 本 地 路 
由 表 中 的 度量 值 不 会 发 生变 化 。 运 行 该 命令 不 会 影响 本 地 设备 的 路 由 选择 ， 但 是 会 影响 
其 他 设备 的 路 由 选择 。 


实验 目的 


e 理解 RIP 路 由 附加 度量 值 应 用 场景 
e 掌握 使 用 metricin 方式 附加 度量 值 的 方法 
e 掌握 使 用 metricout 方式 附加 度量 值 的 方法 


实验 内 容 


本 实验 模拟 公司 网 络 场景 。 路 由 器 R1 左 侧 连接 的 是 公司 市 场 部 ， 路 由 器 R4 右 侧 连 
接 的 是 公司 财务 部 ，R1 与 R4 之 间 通 过 R2、R3 双 链 路 连接 ， 所 有 路 由 器 运行 RIP 协议 ， 
RI1 与 R4 之 间 互 访 的 流量 通过 两 条 链 路 负载 分 担 。 现 在 网 络 管理 员 在 R2 上 做 了 流量 控 
制 ， 要 求 所 有 市 场 部 访问 财务 部 的 流量 都 必须 经 过 R2， 同 时 为 了 减轻 R2 的 负担 ， 由 财 
务 部 去 往 市 场 部 的 流量 都 由 R3 来 转发 。 网 络 管理 员 可 通过 两 种 RIP 路 由 附加 度量 值 的 
方式 修改 相应 的 路 由 度量 值 ， 灵 活 控制 RIP 的 路 由 选择 来 达到 公司 的 流量 控制 。 
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实验 拓扑 
配置 RIP 路 由 附加 度量 值 的 拓扑 如 图 7-17 所 示 。 
R2 










GE 0/0/1 


10024.4 
GE 0/0/0 GE 0/0/1 










CE GE 0/0/2 
民 


Ethernet 0/0/1 Ethernet 0/0/1 








Ethernet 0/0/2 
En GE 0/0/1 GE 0/0/0 Ethemet 0/0/2 
GE 0/0/1 GE 0/0/0 
100.133 W033 
Ethernet 0/0/1 R3 
Ethernet 0/0/1 
市 场 部 财务 部 
PC-1 PC-2 
oz168.11 92.168271 
图 7-17 配置 RIP 路 由 附加 度量 值 拓扑 
实验 编 址 
实验 编 址 见 表 7-8。 
表 7-8 实验 编 址 


设备 IP 地 址 子 网 撞 码 默认 网 关 
GE 0/0/0 10.0.12.1 253.255.2S5.0 N/A 
R1 (AR2220) GE 0/0/1 10.0.13.1 255.255.255.0 N/A 
GE 0/0/2 192.168.1.254 255.255.255.0 N/A 
GE 0/0/0 10.0.12.2 255.255.255.0 N/A 
R2 (AR2220) 
GE 0/0/1 10.0.24.2 255.255.255.0 N/A 
: GE 0/0/0 10.0.34.3 255.255.255.0 N/A 
R3 (AR2220) 
GE 0/0/1 10.0.13.3 255.255.255.0 N/A 
GE 0/0/0 10.0.34.4 255.255.255.0 N/A 
R4 (AR2220) GE 0/0/1 10.0.24.4 255.255.255.0 N/A 
GE 0/0/2 192.168.2.254 过 35.255;255.0 N/A 
PC-1 Ethernet 0/0/1 192.168.1.1 255.255.255.0 192.168.1.254 
PC-2 Ethernet 0/0/1 192.168.2.1 255.255.255.0 192.168.2.254 
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实验 步骤 

1. 基本 配置 

根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。 


[Rl]ping 10.0.12.2 

PING 10.0.12.2: 56 data bytes, press CTRL C to break 
Reply from 10.0.12.2: bytes=56 Sequence=1 ttl=255 time=50 ms 
Reply from 10.0.12.2: bytes=56 Sequence=2 ttl=255 time=10 ms 
Reply from 10.0.12.2: bytes=56 Sequence=3 ttl=255 time=10 ms 
Reply from 10.0.12.2: bytes=56 Sequence=4 ttl=255 time=10 ms 
Reply from 10.0.12.2: bytes=56 Sequence=5 ttl=255 time=] ms 

—- 10.0.12.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/16/50 ms 


其 他 直 连 网 段 的 连通 性 检测 省 略 。 

2. 搭建 RIP 网 络 

公司 内 部 网 络 使 用 RIP 协议 。 首 先 配置 R1、R2、R3 和 R4 运行 RIP 协议 ， 通 告 所 
有 网 段 ， 使 公司 网 络 互通 。 

[Rilrip 1 

[Rl1-rip-l]version 2 

[Ri-rip-llundo summary 

[Rl1-rip-l lInetwork 10.0.0.0 

[Rl-rip-llnetwork 192.168.1.0 


其 他 路 由 器 配置 省 略 。 配 置 完 成 后 查看 R1 的 路 由 表 。 


[Rlldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 16 Routes : 17 
Destination/Mask Proto Pre Cost Flags NextHop Interface 

10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
10.0.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
10.0.13.0/24 Direct 0 0 D” 10:0;13;l GigabitEthernet0/0/1 
10.0.13.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.0.13.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.0.24.0/24 RIP 100 1 D 10.0.12.2 GigabitEthernet0/0/0 
10.0.34.0/24 RIP 100 1 D 10.0,13,3 GigabitEthermet0/0/1 

127.0.0.0/8 Direct 0 0 D1270:01 InLoopBack0 

127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 

127.255.255.255/32 ”Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthernet0/0/2 
192.168.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
192.168.1.255/32 Direct 0 0 D1270.0:1 GigabitEthernet0/0/2 
192.168.2.0/24 RIP 100 2 D 10.0.12.2 GigabitEthernet0/0/0 
RP 100 2 D 10.0.133 GigabitEthernetO/0/1 

255.255.255.255/32 Direct 0 0 0 7 InLoopBack0 
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可 以 观察 到 在 RI 上 存在 两 条 通过 RIP 协议 接收 到 的 去 往 财务 部 所 在 网 段 
192.168.2.0/24 的 路 由 条 目 。 
同样 在 R4 上 查看 路 由 表 。 


<R4>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 16 Routes : 17 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0,12.0/24 RIP 100 1 D 10.0.24.2 GigabitEthernet0/0/1 
10.0.13.0/24 RIP 100 I D 10.0.34.3 GigabitEthemet0/0/0 
10.0.24.0/24 Direct 0 0 D 10.0.24.4 GigabitEthemet0/0/1 
10.0,24.4/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.0.24.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.0.34.0/24 Direct 0 0 D 10.0.34.4 GigabitEthemet0/0/0 
10.0.34.4/32 Direct 0 0 D27000 GigabitEthernet0/0/0 
10.0.34.255/32 Direct 0 0 D127:0:0:1 GigabitEthemet0/0/0 
127.0.0.0/8 Direct 0 0 D27001 InLoopBack0 
127.0.0.1/32 Direct 0 0 站 人 于 2 人 0 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.1.0/24 RIP 100 2 D 10.0.34.3 GigabitEthernet0/0/0 
RIP 100 2 D 10.0.24.2 GigabitEthernet0/0/1 
192.168.2.0/24 Direct 0 0 D 192.168.2.254 GigabitEthernet0/0/2 
192.168.2.254/32 Direct 0 0 D127:0:03 GigabitEthernet0/0/2 
192.168,2.255/32 Direct 0 0 D127.004l GigabitEthernet0/0/2 
255.255.255.255/32 Direct 0 Del270.0! InLoopBack0 


同样 可 以 观察 到 在 A 上 存在 两 条 通过 RIP 协议 接收 到 的 去 往 市 场 部 所 在 网 段 
192.168.1.0/24 的 路 由 条 目 ， 且 有 两 个 下 一 跳 ， 呈 现 负载 分 担 。 

3. 配置 RIP Metricin 

在 Rl 的 GE 0/0/1 接口 下 使 用 rip metricin 2 命令 , 设置 RI1 在 接收 R3 发 送 来 的 路 由 
条 目 时 增加 度量 值 2 这样 由 R3 发 给 Rl 的 路 由 条 目的 度量 值 将 大 于 R2 发 给 Rl 的 路 由 ， 
R1 会 优选 R2 发 来 的 RIP 路 由 条 目 ， 并 加 入 路 由 表 中 。 


[Rllinterface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]rip metricin 2 


配置 完成 后 ， 查 看 路 由 表 。 


[Rlldisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 





Destinations : 16 Routes : 16 
Destination/Mask Proto Pre Cost Flags NextHop Interface 

10.0.12.0/24 Direct 0 0 D 10.0.12.1 GigabitEthernet0/0/0 
10.0.12.1/32 Direct 0 0 D 127.0.0.l GigabitEthernet0/0/0 

10.0.12.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
10.0.13.0/24 Direct 0 0 D 10.0.13.1 GigabitEthernet0/0/1 
10.0.13.1/32 Direct 0 0 BD T2700 GigabitEthernet0/0/1 

10.0.13.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
10.0,24.0/24 RIP 100 1 D 10.0.12.2 GigabitEthernet0/0/0 
10.0.34,0/24 RIP 100 3 D 10,0.13.3 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 Dl O00 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
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127.255.255.255/32 Direct 0 0 D00l InLoopBack0 
192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthernet0/0/2 
192.168,1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
192.168.1.255/32 Direct 0 0 Daa00l GigabitEthernet0/0/2 
192.168.2.0/24 RIP 100 2 D 10.0.12.2 GigabitEthernet0/0/0 
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
可 以 观察 到 ， 此 时 在 R1 上 访问 财务 部 网 段 只 有 一 个 下 一 跳 R2， 在 R1 上 查看 RIP 


的 数据 库 。 
[Rl]display rip 1 database 
Advertisement State : [A] - Advertised 
[I] - Not Advertised/Withdraw 
10.0.0.0/8, cost 0, ClassfulSumm 
10.0.12.0/24, cost 0, [A], Rip-interface 
10.0.13.0/24, cost 0, [A], Rip-interface 
”10.0.24.0/24, cost 1, [A], nexthop 10.0.12.2 
10.0.34.0/24, cost 16, [I], nexthop 10.0.13.3 
10.0.34.0/24, cost 2, [A], nexthop 10.0.12.2 
192.168.1.0/24, cost 0, ClassfulSumm 
192.168.1.0/24, cost 0, [A], Rip-interface 
192.168.2.0/24, cost 2, ClassfulSumm 
192.168.2.0/24, cost 2, [Al], nexthop 10.0.12.2 
192.168.2.0/24, cost 16, [I], nexthop 10.0.13.3 


可 以 观察 到 在 RIP 的 数据 库 中 , 还 是 存在 下 一 跳 为 R3 的 去 往 192.168.2.0/24 网 段 的 
路 由 ， 但 cost 值 被 设 为 16， 即 不 可 达 。 

在 PC-1 上 测试 访问 PC-2 所 经 过 的 网 关 设 备 。 

PC>tracert 192.168.2.1 

traceroute to 192.168.2.1, 8 hops max 


(ICMP), press CtrlHC to stop 
1 192.168.1.254 31 ms 31 ms 16 ms 
2 10.0.12.2 31 ms 31 ms 47 ms 
3 10.0,24.4 31 ms 31 ms 16 ms 
4 192.168.2.1 47 ms 47 ms 62 ms 


可 以 观察 到 ， 数 据 包 此 时 是 经 过 R2 转发 至 PC-2 的 。 

4. 配置 RIP Metricout 

为 了 减轻 R2 的 负担 ， 所 有 由 财务 部 去 往 市 场 部 的 流量 都 由 R3 来 转发 。 

在 R2 上 的 GE 0/0/1 接口 下 使 用 rip metricout 2 命令 , 设置 R2 在 向 R4 发 送 路 由 条 
目 时 增加 度量 值 >。 这 样 R4 收 到 来 自 R2 的 路 由 的 度量 值 就 会 大 于 来 自 R3 的 路 由 ，R4 
会 优选 来 自 R3 的 RIP 路 由 条 目 ， 并 加 入 到 路 由 表 中 。 


[R2jinterface GigabitEthernet0/0/1 
[R2-GigabitEthernet0/0/1]rip metricout 2 


配置 完成 后 ， 查 看 路 由 表 。 


<R4>display ip routing-table 
Route Flags; R - relay, D - download to fib 
Routing Tables: Public 
Destinations ; 16 Routes : 16 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 RIP 100 2 D 10.0.24.2 GigabitEthernet0/0/1 
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10.0.13.0/24 RIP 100 1 D 10.0.34.3 GigabitEthernet0/0/0 
10.0.24.0/24 Direct 0 0 D 10.0.24.4 GigabitEthernet0/0/1 
10:0.24.4/32 Direct 0 0 D127:0:05 GigabitEthernet0/0/1 
10.0.24.255/32 Direct 0 0 了 127.0.0.1 GigabitEthemet0/0/] 
10.0.34.0/24 Direct 0 0 D 10.0.34.4 GigabitEthernet0/0/0 
10.0.34.4/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/0 
10.0.34.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.l InLoopBack0 
127.0.0.1/32 Direct 0 0 B127.0:0:1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.l InLoopBack0 
192.168.1.0/24 RIP 100 2 D 10.0.34.3 GigabitEthernet0/0/0 
192.168.2.0/24 Direct 0 0 D 192.168.2.254 GigabitEthermet0/0/2 
192.168.2.254/32 Direct 0 0 D127.0:0,1 GigabitEthemet0/0/2 
192.168.2.255/32 Direct 0 0 127.0.0.1 GigabitEthernet0/0/2 
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 此 时 在 R4 上 访问 市 场 部 网 段 只 一 个 下 一 跳 R3， 在 PC-2 上 测试 访 
间 PC-1 所 经 过 的 网 关 设 备 。 


PC>tracert 192.168.1.1 
traceroute to 192.168.1.1, 8 hops max 
(ICMP), press CtrlHC to stop 


1 192.168.2.254 31 ms 31 ms 16 ms 
2 10.0.34.3 31 ms 47 ms 15 ms 
30 10:093.1 31 ms 16ms 47 ms 
4 192.168.1.1 62 ms 47 ms 31 ms 
可 以 观察 到 ， 数 据 包 此 时 是 经 过 R3 转发 至 PC-1 的 。 
思考 


无 论 是 配置 metricin 还 是 metricout 都 会 将 所 有 RIP 路 由 条 目的 度量 值 增 加 ， 如 何 
在 完成 对 财务 部 路 由 附加 度量 值 配置 的 同时 不 影响 其 他 RIP 路 由 的 Metric 值 ? 


7.9 RIP 的 故障 处 理 


原理 概述 


在 实际 的 小 型 网 络 中 ， 设 计 者 可 能 会 选用 RIP 作为 网 络 路 由 协议 ， 但 在 实际 操 
作 配 置 中 ， 往 往 会 出 现 人 为 的 疏忽 、 错 误 配 置 等 种 种 问题 造成 网 络 不 能 正常 通信 。 
这 便 需 要 网 络 管理 员 具 有 一 定 的 故障 处 理 能 力 ， 去 排除 网 络 中 的 故障 以 恢复 网 络 
通信 。 

下 面 为 RIP 中 常见 的 故障 : 

(1) 接口 状态 不 是 UP; 

“(2) RIP 进程 下 没有 对 该 网 段 做 network 配置 ; 

(3) 对 端 RIPP 协议 报 文 的 版 本 号 和 本 地 接收 的 RIP 协议 报 文 版 本 号 不 一 致 ; 

(4) 接口 上 配置 了 禁止 接收 RIP 报 文 或 禁止 发 送 RIP 报 文 的 命令 ; 

(5) 在 RIP 中 配置 了 策略 ， 过 滤 掉 收 到 的 RIP 路 由 或 不 允许 发 送 RIP 路 由 ; 
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(6) 接口 上 没有 开启 水 平分 割 ; 

(7) 链 路 两 端的 接口 认证 方式 不 匹配 ; 

(8) 路 由 表 中 存在 从 其 他 协议 获得 的 相同 路 由 条 目 ; 

(9) 收 到 的 路 由 度量 值 大 于 16。 

可 以 根据 以 上 的 常见 问题 ， 制 定 出 合理 的 故障 排除 步骤 。 比 如 检查 第 一 项 时 ， 首 
先 使 用 相关 的 配置 命令 查看 接口 状态 是 否 UP， 这 就 要 求 熟 悉 用 于 检查 各 个 状态 的 
配置 命令 。 若 第 一 项 没有 问题 ， 则 按 顺 序 查 看 下 一 项 ， 直 到 排查 出 错误 ， 恢 复 网 络 
的 正常 。 


实验 目的 


。 掌握 RIP 故障 的 常见 原因 

e 掌握 RIP 故障 诊断 流程 

。 掌握 RIP 故障 处 理 步 又 

e 掌握 RIP 故障 排除 的 常用 命令 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。R1 为 该 公司 出 口 网 关 路 由 器 ， 连 接 运营 商 网 络 ; 

R2 为 公司 HR 部 门路 由 器 与 网 关 相 连 ， 由 于 公司 的 网 络 规模 比较 小 ,所 以 选择 使 用 

RIPv2 来 作为 动态 路 由 协议 实现 公司 整 网 互通 。 现 在 公司 IT 部 门 员工 发 现 用 PC-2 无 法 与 

HR 部 门 的 PC-1 通信 ， 作 为 公司 的 网 络 管理 员 ， 现 需 对 此 网 络 故障 进行 排查 ， 恢 复 网 络 。 

台 PC 都 确认 了 IP 地 址 和 网 关 地 址 设置 正确 , 现 给 出 公司 网 络 拓扑 以 及 3 台 路 由 器 的 配 

置 ， 请 用 模拟 器 措 建 网 络 并 把 已 经 给 出 的 配置 拷贝 入 对 应 路 由 器 中 ， 再 进行 故障 处 理 。 本 
实验 较 全 面 地 介绍 了 RIP 的 排 障 流程 ， 适 合 大 部 分 RIP 网 络 。 


实验 拓扑 
公司 网 络 拓扑 如 图 7-18 所 示 。 





图 7-18 RIP 的 故障 排除 拓扑 
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实验 编 址 


实验 编 址 见 表 7-9。 
表 7-9 实验 编 址 


设备 。 | 接 D | IP 地 址 | 子 网 撞 友 
R1 CAR1220) GE 0/0/0 192.168.1.2 255.255.255.0 
GE 0/0/1 192.168.2.2 255.255.255.0 
R2 (AR1220) GE 0/0/0 192.168.1.1 255.255.255.0 
Ethermnet 1/0/1 172.16.1.254 255.255.255.0 

/ 

R3 (CAR1220) GE 0/0/1 92.168.2.1 255.255.255.0 
Ethernet 1/0/1 172.16.2.254 255.255.255.0 
PC-1 Ethernet 0/0/1 172.16.1.1 255.255.255.0 
PC-2 Ethernet 0/0/1 L262 255.255.255.0 


实验 步骤 


1. 导入 设备 预 配置 

本 实验 中 设置 了 如 下 故障 点 : 

国 R3 缺少 network 192.168.2.0 命令 ; 

加 在 R3 的 GE 0/0/1 接口 下 配置 undo rip input 命 令 ; 
加 关闭 Rl 的 GE 0/0/1 接口 ; 

图 在 Rl 的 GE 0/0/0 接口 下 配置 rip metricin 15 命令 ; 


默认 网 关 
N/A 
N/A 
N/A 
N/A 
N/A 
N/A 

172.16.1.254 
172.16.2.254 


国 在 R2 的 GE 0/0/0 接口 下 配置 RIP 认证， 方式 为 明文 认证 ， 密 码 huawei。 


下 面 即 为 3 台 路 由 器 R1、R2、R3 的 初始 配置 ， 直 接 使 用 即 可 。 


System-View 

sysname Rl1 

interface GigabitEthernet0/0/0 

ip address 192.168.1.2 255.255.255.0 
rip metricin 15 

interface GigabitEthernet0/0/1 

ip address 192.168.2.2 255.255.255.0 
shutdown 

rip 1 

Version 2 

network 192.168.1.0 

network 192,168.2.0 


system-view 

sysname R2 

interface Ethernet1/0/1 

ip address 172.16.1.254 255.255.255.0 
interface GigabitEthernet0/0/0 

ip address 192.168.1.1 255.255.255.0 
rip authentication-mode simple huawei 
rip 1 

Version 2 

network 172.16.0.0 

network 192.168.1.0 
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System-VviewW 

sysname R3 

interface Ethernet1/0/1 

ip address 172.16.2.254 255.255.255.0 
interface GigabitEthernet0/0/1 

ip address 192.168.2.1 255.255.255.0 
undo rip input 

rip 1 

Version 2 

network 172.16.0.0 


在 接 下 来 的 步骤 中 网 络 管理 员 需 要 根据 逻辑 思路 , 并 借助 必要 的 查看 命令 来 进行 
排 障 。 

2. 排除 Rl1 与 R2 间 的 故障 

网 络 管理 员 发 现 公司 网 络 此 时 出 现 故 障 ，IT 部 门 与 HR 部 门 的 终端 无 法 正常 互 访 。 

测试 IT 部门 PC-1 与 HR 部 门 PC-2 间 的 连通 性 。 

PC>ping 172.16.2.1 

Ping 172.16.2.1: 32 data bytes, Press Ctrl_C to break 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

—- 172.16.2.1 ping statistics --- 

5 packet(s) transmitted 


0 packet(s) received 
100.00% packet loss 
可 以 观察 到 无 法 正常 通信 ， 即 网 络 中 存在 故障 ， 但 此 时 网 络 管理 员 并 不 能 确定 故障 
位 置 。 首 先 在 PC-1 上 测试 与 网 关 设 备 R2 间 的 连通 性 。 
PC>ping 172.16.1.254 
Ping 172.16.1.254: 32 data bytes, Press Ctrl_C to break 
From 172.16.1.254: bytes=32 seq=] ttl=255 time=15 ms 
From 172.16.1.254: bytes=32 seq=2 ttl=255 time<l ms 
From 172.16.1.254; bytes=32 seq=3 ttl=255 time<l1 ms 
From 172.16.1.254: bytes=32 seq=4 ttl=255 time=16 ms 
From 172.16.1.254: bytes=32 seq=5 ttl=255 time=16 ms 
--- 172.16,1.254 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 0/9/16 ms 
通信 正常 ， 表 明 PC-1 跟 网 关 设备 R2 间 的 链 路 没有 问题 。 
路 由 器 是 根据 路 由 表 来 进行 数据 转发 的 ， 所 以 在 R2 上 使 用 display ip routing-table 
命令 查看 是 否 有 PC-2 所 在 网 段 的 路 由 条 目 。 
[R21]display jp routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 6 Routes:6 
Destination/Mask Proto Pre Cost Flapgs NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0,0.1 InLoopBack0 
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127.0.0.1/32 Direct 0 0 D127.0.0:1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.254 Ethernet1/0/1 
172.16.1.254/32 Direct 0 0 D 127.0.0.1 Ethermet1/0/1 
192.168.1.0/24 Direct 0 D2.1681:] GigabitEthernet0/0/0 
192.168.1.1/32 Direct 0 D 127.0.0.1 GigabitEthernet0/0/0 


可 以 观察 到 , R2 上 没有 任何 通过 RIP 协议 接收 的 路 由 信息 , 说 明 RI1 与 R2 间 的 RIP 
路 由 信息 通告 不 正常 ， 即 接 下 来 需要 在 R1 与 R2 之 间 排 障 。 
第 1 步 ， 检 查 Rl 与 R2 所 在 直 连 链 路 上 的 物理 接口 状态 是 否 正 常 。 


[R21]display ip interface brief GigabitEthernet 0/0/0 

*down: administratively down 

ldown: FIB overload down 

^down: standby 

(1): loopback 

(8): spoofing 

(d): Dampening Suppressed 

Interface IPAddress/Mask Physical Protocol 
GigabitEthernet0/0/0 192.168.1.1/24 up up 


[Rl1ldisplay ip interface brief GigabitEthernet 0/0/0 

*down: administratively down 

!down: FIB overload down 

^down: standby 

(1D: loopback 

(s): spoofing 

(d): Dampening Suppressed 

Interface IP Address/Mask Physical Protocol 
GigabitEthernet0/0/0 192.168.1.2/24 up up 


可 以 观察 到 ， 物 理 接 口 工作 正常 。“Physical” 为 UP， 即 接口 的 物理 状态 处 于 正常 启 
动 的 状态 ;“Protocol” 为 UP， 即 接口 的 链 路 协议 状态 处 于 正常 启动 的 状态 。 
在 R2 上 测试 与 Rl 间 直 连 链 路 的 连通 性 。 


[R2]ping -c 1 192.168.1.2 
PING 192.168.1.2: 56 data bytes, press CTRL C to break 
Reply from 192.168.1.2: bytes=56 Sequence=1 tt[=255 time=70 ms 
--- 192.168.1.2 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 70/70/70 ms 


可 以 观察 到 ， 连 通 性 没有 问题 ， 继 续 下 一 步 排查 。 
第 2 步 ， 检 查 直 连 链 路 上 的 接口 所 在 网 段 是 否 在 RIP 中 通告 


[R2]display rip 1 

Public VPN-instance 

RIP os T 

Verify-source : Enabled 

Networks : 

192.168.1,0 172.16.0.0 
Configured peers :None 


[Rlldisplay rip 1 
Public VPN-instance 
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Verify-source : Enabled 

Networks : 

192.168.2.0 192.168.1.0 
Configured peers : None 


Nemes 


可 以 观察 到 ， 接 口 的 网 段 都 已 经 在 RIP 中 通告 ， 继 续 下 一 步 排查 。 

第 3 步 , 检查 Rl1、R2 上 的 RIP 协议 发 送 版 本 号 和 本 地 接口 接收 的 版 本 号 是 否 匹配 。 
在 R1、R2 上 查看 相应 运行 在 RIP 协议 下 的 接口 的 详细 信息 。 

[Rl]display rip 1 interface GigabitEthernet 0/0/0 verbose 

GigabitEthernet0/0/0(192.168.1.2) 


State :UP MTU :500 
Metricin 1s 

Metricout 5 

Input : Enabled Output : Enabled 
Protocol : RIPvV2 Multicast 


Send version : RIPv2 Multicast Packets 
Receive version :; RIPV2 Multicast and Broadcast Packets 


Poison-reverse : Disabled 
Split-Horizon : Enabled 
Authentication type : Simple 

Replay Protection : Disabled 


[R21]display rip 1 interface GigabitEthernet 0/0/0 verbose 
GigabitEthemet0/0/0(192.168.1.1) 


State UP MTU ; 500 
Metricin :0 

Metricout | 

Input : Enabled Output : Enabled 
Protocol : RIPV2 Multicast 


Send version : RIPvV2 Multicast Packets 
Receive version : RIPv2 Multicast and Broadcast Packets 


Poison-reverse : Disabled 
Split-Horizon : Enabled 
Authentication type :None 

Replay Protection : Disabled 


可 以 观察 到 ， 双 方 的 发 送 版 本 号 和 本 地 接口 接收 的 版 本 号 匹配 ， 继 续 下 一 步 排查 。 

第 4 步 ， 由 于 目前 在 R2 上 没有 接收 到 R1 发 送 过 来 的 路 由 信息 ， 所 以 在 R2 上 的 入 
接口 检查 是 否 配置 了 undo rip input、silent-interface 命 令 。 

查看 R2 入 接口 GE 0/0/0 的 配置 信息 。 


[R2]display current-configuration interface GigabitEthernet 0/0/0 
# 
interface GigabitEthernet0/0/0 
ip address 192.168.1.1 255.255.255.0 
rip authentication-mode simple cipher %$%$B""x"|=aa$$Ys*OM$OAR*pSfyod%s 
# 
Return 


可 以 观察 到 , 目前 R2 的 入 接口 GE 0/0/0 上 并 没有 配置 undo rip input、 silent-interface 
命令 。 
第 5 步 , 检查 是 否 在 RIP 进程 中 配置 了 filter-policy 策略 , 来 过 滤 掉 收 到 的 RIP 路 由 
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或 不 允许 发 送 RIP 路 由 。 
[R2]rip 
[R2-rip-l]display this 
wp 


rip 1 

Version 2 

network 172.16.0.0 
network 192.168.1.0 


区 1]rip 
[Rl-rip-1]display this 
# 

ripl 

version 2 

network 192.168.1.0 
network 192.168.2.0 


可 以 观察 到 ， 并 没有 配置 策略 ， 继 续 下 一 步 排查 。 
第 6 步 ， 检 查 接口 上 是 否 已 经 开启 水 平分 割 ， 水 平分 割 为 默认 开启 。 查 看 Rl1 和 R2 
相应 接口 上 的 RIP 详细 信息 。 


[R21]display rip 1 interface GigabitEthernet 0/0/0 verbose 
GigabitEthernet0/0/0(192.168.1.1) 


ETE 


Poison-reverse : Disabled 
Split-Horizon : Enabled 
Authentication type : None 

Replay Protection : Disabled 


[Rlldisplay rip 1 interface GigabitEthernet 0/0/0 verbose 
GigabitEthernet0/0/0(192.168.1.2) 


Poison-reverse : Disabled 
Split-Horizon : Enabled 

Authentication type :None 

Replay Protection :Disabled 


可 以 观察 到 ， 接 口 下 没有 关闭 水 平分 制 ， 继 续 下 一 步 排查 。 
第 7 步 ， 检 查 链 路 两 端的 接口 认证 方式 是 否 匹配 。 使 用 display rip 1 statistics 
interface 命令 查看 两 端 RIP 接口 上 的 统计 信息 。 


[Rlldisplay rip 1 statistics interface GigabitEthernet 0/0/0 
GigabitEthernet0/0/0(192.168.1.2) 


Statistical information Last min Last 5 min Total 
Periodic updates sent 1 6 361 
Bad routes received 0 0 0 
Packet authentication failed 0 3 168 
Packet send failed 0 0 0 


[R21]display rip 1 statistics interface GigabitEthernet 0/0/0 
GigabitEthernet0/0/0(192.168.1.1) 
Statistical information Last min Last 5 min Total 


Periodic updates sent 0 4 361 
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Bad routes received 0 0 0 
Packet authentication failed 0 4 328 
Packet send failed 0 0 


0 
观察 到 有 认证 失败 的 RIP 报 文 ， 说 明 两 端的 RIP 认证 方式 有 问题 。 在 双方 路 由 器 上 
执行 display current-configuration 命令 查看 配置 信息 。 


[R21]display current-configuration 
# 
interface GigabitEthernet0/0/0 
ip address 192.168.1.1 255.255.255.0 
rip authentication-mode simple cipher %$%$B""x'"|=aa$$ Ys*OM$OAR&*pSf%$%sB 


[Rll]display current-configuration 
# 
interface GigabitEthermet0/0/0 
ip address 192.168.1.2 255.255.255.0 


发 现 R2 的 GE 0/0/0 接口 下 配置 了 RIP 认证， 而 Rl 的 GE 0/0/0 接口 下 没有 配置 认证 。 

进入 R2 的 GE 0/0/0 接口 删除 该 认证 命令 。 

[R2]interface GigabitEthemet0/0/0 

区 2-GigabitEthernet0/0/0]undo rip authentication-mode 

配置 完成 后 ， 使 用 display ip routing-table protocol rip 命令 检查 双方 现在 是 否 能 够 
正常 收发 RIP 路 由 。 


[R21]display ip routing-table protocol rip 
[R21 


[Rlldisplay ip routing-table protocol rip 
[R1] 
发 现 仍 然 没 有 相关 的 RIP 路 由 条 目 ， 继 续 下 一 步 排查 。 


第 8 步 , 查看 路 由 表 中 是 否 存在 从 其 他 协议 获得 的 相同 路 由 , 查看 R2 的 路 由 表 信息 。 
[R21]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 6 Routes:6 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D1270:03 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 JnLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.254 Ethernet1/0/1 
172.16.1.254/32 Direct 0 0 Di2A00d Ethernet1/0/1 
192.168.1.0/24 Direct 0 0 D 192.168.1.1 GigabitEthemet0/0/0 
192.168.1.1/32 Direct 0 0 D 127.0:0.1 GigabitEthernet0/0/0 


可 以 观察 到 ， 并 没 从 有 其 他 路 由 协议 获得 相同 的 路 由 ， 继 续 下 一 步 排查 。 

第 9 步 ， 检 查收 到 的 路 由 度量 值 是 否 大 于 16。 使 用 display rip 1 route 命令 查看 。 
[Rljdisplay rip 1 route 

Route Flags : R - RIP 

A-Aping, G- Garbage-collect 
i 
Destination/Mask Nexthop Cost Tag Flags Sec 

172.16.1.0/24 192.168.1.1 二 RG 16 


发 现 从 R1 接收 到 的 172.16.1.0 网 段 的 路 由 条 目 度量 值 是 16， 该 路 由 不 可 达 ， 所 以 
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不 会 将 该 2 se pig 注意 ， 如 果 操 作 到 该 步骤 时 距离 导入 预 配置 的 时 间 间 隔 


过 久 ， 将 会 无 法 查看 到 该 结 


在 Rl 上 使 用 display A | include rip 命令 , 查看 包含 字符 串 “rip” 


的 所 有 配置 信息 。 


[Rlldisplay current-configuration | include rip 
rip metricin 15 
ripl 


发 现 R1 上 配置 了 rip metricin 15 命令 ， 将 GE 0/0/0 接口 接收 到 的 路 由 都 加 上 了 15 


的 度量 值 ， 再 放 入 路 由 表 中 ， 导 致 172.16.1.0 网 段 的 路 由 条 目的 度量 值 是 16。 
进入 GE 0/0/0 接口 ， 删 除 该 命令 。 


[Rllinterface GigabitEthernet0/0/0 

[R1-GigabitEthernet0/0/0]Jundo rip metricin 

配置 完成 后 ， 在 R1 上 使 用 display ip routing-table 命令 ， 检 查 路 由 表 。 
[Rildisplay ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes: 8 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 RIP 100 1 D 192.168.1.1 GigabitEthemet0/0/0 
192.168.1.0/24 Direct 0 0 D 192.168.1.2 GigabitEthemet0/0/0 
192.168.1.2/32 Direct 0 0 D 127.0.0.1 GigabitEthermet0/0/0 
192.168.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/0 
255.255.255.255/32 Direct D 127.0.0.1 InLoopBack0 


可 以 发 现 Rl 已 经 收 到 yy 16. er 0 网 段 的 路 由 信息 ， 接 收 到 了 R2 通告 的 路 由 条 目 ， 


即 R1 与 R2 之 间 的 故障 已 排除 完毕 


但 是 此 时 R1 仍然 没有 R3 上 172.16.2.0 网 段 的 路 由 信息 ， 说 明 R1 与 R3 间 的 RIP 


路 由 信息 通告 不 正常 。 接 下 来 需要 在 R1 与 R3 之 间 排 障 。 
3. 排除 R1 与 R3 间 的 故障 
第 1 步 ， 检查 R1l 与 R3 所 在 直 连 链 路 上 的 物理 接口 状态 是 否 正 常 。 


[Rl]display ip interface brief 

*down: administratively down 

^down: standby 

(1): loopback 

(8): spoofing 

The number of interface that is UP in Physical is 2 

The number of interface that is DOWN in Physical is 2 
The number of interface that is UP in Protocol is 2 
The number of interface that is DOWN in Protocol is 2 


Interface IP Address/Mask Physical Protocol 
GigabitEthernet0/0/0 192.168.1.2/24 up up 
GigabitEthermet0/0/1 192.168.2.2/24 *down down 
NULL0 unassiened up(s) 


可 以 观察 到 ， 物 理 接 口 工 作 不 正常 。 接口 的 物理 状态 和 链 路 协议 状态 都 不 正常 ， 并 


且 “Physical” 状 态 为 “*down”， 表 示 网 络 管理 员 在 该 接口 执行 了 shutdown 命令 。 
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进入 Rl 的 GE 0/0/1 接口 ， 通 过 display this 命令 查看 接口 配置 。 
[Rllinterface GigabitEthernet 0/0/1 
[Ri-GigabitEthernet0/0/1]display this 
[V200R003C00] 
二 
interface GigabitEthernet0/0/1 
shutdown 
ip address 192.168.2.2 255.255.255.0 


果然 发 现 接口 下 配置 了 shutdown 命令 。 在 该 接口 配置 undo shutdown 命令 。 


1-GigabitEthernet0/0/1]undo shutdown 

配置 完成 后 ， 测 试 连通 性 。 

区 1]ping 192.168.2.1 

PING 192.168.2.1: 56 data bytes, press CTRL_C to break 

Reply from 192.168.2.1: bytes=56 Sequence=] ttl=255 time=210 ms 
Reply from 192.168.2.1: bytes=56 Sequence=2 ttl=255 time=60 ms 
Reply from 192.168.2.1: bytes=56 Sequence=3 ttl=255 time=50 ms 
Reply from 192.168.2.1: bytes=56 Sequence=4 ttl=255 time=20 ms 
Reply from 192.168.2.1: bytes=56 Sequence=5 ttl=255 time=20 ms 
-一 192.168.2.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 20/72/210 ms 

现在 恢复 正常 连通 。 检 查 R1 的 路 由 表 。 
[Rildisplay ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 

Destination/Mask Proto Pre Cost Flags NextHop Interface 

127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 RIP 100 1 D 192.168.1.1 GigabitEthernet0/0/0 
192.168.1.0/24 Direct 0 0 D 192.168.1.2 GigabitEthernet0/0/0 
192.168.1.2/32 Direct 0 0 D 127.0.0,1 GigabitEthernet0/0/0 
192.168.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
255.255.255.255/32 Direct 0 D 127.0.0.1 InLoopBack0 


发 现 没有 收 到 相关 的 RIP 路 由 条 目 ， 继 续 下 一 步 排查 。 
第 2 步 ， 检 查 直 连 链 路 上 的 接口 所 在 网 段 是 否 在 RIP 中 通告 


[Rlldisplay rip 1 
Public VPN-instance 


PEE 


Verify-source : Enabled 


Networks : 192.168.2.0 192.168.1.0 
Configured peers :None 
[R3]display rip 1 


Public VPN-instance 
RIP process : ] 


226 HCNA 网 络 技术 实验 指南 


255,255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 


[R31display ip routing-table 
Route Flags: R -relay, D - download to fib 


Routing Tables: Public 


Destinations : 12 Routes : 12 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 RIP 100 2 D 192.168.2.2 GigabitEthemet0/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.254 Ethernet1/0/1 
172.16.2.254/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
172.16.2.255/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
192.168.1.0/24 RIP 100 1 D 192.168.2.2 GigabitEthernet0/0/] 
192.168.2.0/24 Direct 0 0 D 192.168.2.1 GigabitEthernet0/0/1 
192.168.2.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.2.255/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/1 
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 双 方 能 正常 接收 到 对 方 RIP 路 由 。 
最 后 在 PC-1 上 测试 与 PC-2 间 的 连通 性 。 
PC>ping 172.16.2.1 
Ping 172.16.2.1: 32 data bytes, Press Ctrl C to break 
From 172.16.2.1: bytes=32 seq=] ttl=125 time=93 ms 
From 172.16.2.1: bytes=32 seq=2 ttl=125 time=31 ms 
From 172.16.2.1: bytes=32 seq=3 ttl=125 time=16 ms 
From 172.16.2.1: bytes=32 seq=4 ttl=125 time=16 ms 
From 172.16.2.1: bytes=32 seq=5 ttl=125 time=15 ms 
--= 172.16.2.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 15/34/93 ms 


通信 正常 ， 至 此 故障 排除 完成 。 
思考 
如 果 采 用 debug 或 者 抓 包 的 方式 排 错 ， 与 采用 查看 命令 进行 排 错 相 比 有 什么 优 劣 ? 


7.10 ”RIP 的 路 由 引入 


原理 概述 


设计 者 在 进行 网 络 规划 或 设计 时 , 一 般 都 设计 成 仅 运 行 一 种 路 由 协议 , 以 降低 网 络 复杂 
性 ， 易于 维护 。 但是， 如 果 在 网 络 升级 、 扩 展 或 合并 时 ， 就 可 能 造成 在 网 络 中 同时 运行 几 种 
不 同 的 路 由 协议 ， 这 时 就 需要 部 署 路 由 协议 间 的 引入 ， 使 路 由 信息 能 够 在 不 同 协议 间 传 递 。 
RIP 支持 不 同 路 由 协议 的 引入 ， 包 括 直 连 路 由 、 静 态 路 由 或 其 他 动态 路 由 协议 。 由 
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于 RIP 的 度量 值 是 跳 数 且 最 大 值 不 能 超过 15, 所 以 在 将 其 他 路 由 协议 引入 至 RIP 时 需要 
注意 设置 度量 值 ， 避 免 引 入 的 路 由 度量 值 超过 15。 默 认 情况 下 ， 引 入 另 一 种 协议 或 引入 
同 种 协议 的 不 同 进程 时 往往 是 把 该 协议 或 该 进程 的 所 有 路 由 一 起 引入 ， 可 以 在 引入 的 同 
时 通过 设置 策略 来 控制 和 过 滤 特 定 的 路 由 信息 。 


实验 目的 


。 掌握 RIP 路 由 引入 的 应 用 场景 
。 掌握 在 RIP 中 引入 直 连 路 由 的 配置 
。 掌握 在 RIP 中 引入 静态 路 由 的 配置 
。 理解 RIP 抑制 接口 的 使 用 场景 


实验 内 容 


A 和 B 两 家 公司 ，R4 是 公司 A 的 网 关 路 由 器 ， 左 侧 连接 的 公司 A 内 网 ; R1 是 公司 B 的 
网 关 路 由 器 ， 右 侧 是 公司 B 的 内 网 。 内 网 中 的 R2 连接 财务 部 门 ，R3 连接 研发 部 门 ，3 台 路 
由 器 运行 RIP 协议 。 财 务 部 门 和 研发 部 门 不 希望 接收 到 大 量 RIP 的 更 新 报 文 ， 通 过 把 它们 的 
网 段 当 作 外 部 网 络 引入 到 RIP 中 来 实现 。 而 在 优化 完 公司 B 的 RIP 网 络 之 后 ， 要 求 公司 B 与 
公司 A 能 够 互相 通信 ， 现 需要 使 用 静态 路 由 和 路 由 引入 技术 使 两 家 公司 的 网 络 能 够 互 访 。 


实验 拓扑 


RIP 的 路 由 引入 拓扑 如 图 7-19 所 示 。 
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图 7-19 RIP 的 路 由 引入 拓扑 
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实验 编 址 


实验 编 址 见 表 7-10。 
表 7-10 实验 编 址 


设备 IP 地 址 子 网 撞 码 默认 网 关 
Ethernet 1/0/0 10.0.13.1 255.255.255.0 N/A 
R1I (AR1220) Ethernet 1/0/1 10.0.12.1 255.255.253:0 N/A 
Ethernet 2/0/0 14.1.1.1 255.255.255.0 N/A 
Ethernet 1/0/0 192.168.2.254 255.255.255.0 N/A 
R2 (AR1220) 
Ethernet 1/0/1 10.0.12.2 255.255.255.0 N/A 
, Ethernet 1/0/0 192.168.3.254 255.255.255.,.0 N/A 
R3 (AR1220) 
Ethernet 1/0/1 10.0,13.3 255.255.255.0 N/A 
Ethernet 1/0/1 14.1.1.4 255.255.255.0 N/A 
R4 (AR1220) 
Ethernet 1/0/0 192.168.4.254 255.255.255:0 N/A 
PC-1 Ethernet 0/0/1 192.168.2.1 255.255.255:0 192.168.2.254 
PC-2 Ethernet 0/0/1 192.168.3.1 255.255.255.0 192.168.3.254 
PC-3 Ethernet 0/0/1 192.168.4.1 255.255.2553.0 192.168.4.254 


实验 步骤 
1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 人 P 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 


[Rllping 10.0.12.2 
PING 10.0.12.2; 56 data bytes, press CTRL C to break 
Reply from 10.0.12.2: bytes=56 Sequence=l ttl=255 time=10 ms 
Reply from 10.0.12.2: bytes=56 Sequence=2 ttl=255 time=] ms 
Reply from 10.0.12.2: bytes=56 Sequence=3 ttl=255 time=] ms 
Reply from 10.0.12.2: bytes=56 Sequence=4 ttl=255 time=l ms 
Reply from 10.0.12.2: bytes=56 Sequence=5 tt]=255 time=] ms 
10.0.12.2 ping Statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/2/10 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2， 搭建 公 司 B 的 RIP 网 络 
在 公司 B 的 路 由 器 R1、R2 和 R3 上 配置 RIPv2 协议 ， 通 告 所 有 公司 B 内 部 网 段 。 
[Rllrip 1 
[Rl-rip-lJundo summary 
[Rl1-rip-l]version 2 
[Rl-rip-l]network 10.0.0.0 


[R2]rip 1 
[R2-rip-llundo summary 
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[R2-rip-1 lversion 2 
[R2-rip-1jnetwork 10.,0.0.0 
[R2-rip-l Inetwork 192.168.2.0 


[R3-rip-llrip 1 

[R3-rip-llundo summary 
[R3-rip-l]version 2 
[R3-rip-l]network 10.0.0.0 
[R3-rip-1]network 192.168.3.0 


配置 完成 后 ， 查 看 R1 路 由 表 。 
[RIl]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 15 Routes : 15 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D10.02121 Ethernet1/0/1 
10.0.12.1/32 Direct 0 0 D™ 2A0:031 Ethernet1/0/1 
10,02:12.255/32 “Direct 0 0 D120i03 Ethernet1/0/1 
10.0.13.0/24 Direct 0 0 D 10.0.13.1 Ethernet1/0/0 
10.0.13.1/32 Direct 0 0 D1270:07 Ethernet1/0/0 
10.0.13.255/32 Direct 0 0 D, “127:.0,04 Ethermnet1/0/0 
14.1.1.0/24 Direct 0 0 D 14.1.1.1 Ethernet2/0/0 
14.1.1.1/32 Direct 0 0 Dll27.00i Ethernet2/0/0 
14.1.1.255/32 Direct 0 0 D120.0W Ethernet2/0/0 
127.0.0.0/8 Direct 0 0 D27000 InLoopBack0 
127.0.0.1/32 Direct 0 0 Dy 1270:0] InLoopBack0 
127.255.255.255/32 Direct 0 0 DD 1270,Q:l InLoopBack0 
192.168.2.0/24 RIP 100 1 D022 Ethernet1/0/1 
192.168.3.0/24 RIP 100 1 D100133 Ethernetl/0/0 
255.255.255.255/32 Direct 0 0 D700N InLoopBack0 


可 以 观察 到 ， 此 时 公司 B 的 网 关 路 由 器 Rl1 已 经 成 功 接收 到 了 内 网 中 财务 部 
192.168.2.0/24 和 研发 部 门 192.168.3.0/24 网 段 的 路 由 条 目 。 

3. 优化 公司 B 的 RIP 网 络 

公司 B 网 络 搭建 完成 后 ， 网 络 管理 员 对 网 络 进行 维护 。 在 R2 的 EE 1/0/0 接口 抓 取 数 
据 包 ， 如 图 7-20 所 示 。 





No. Time Source Destination Protoco| Info 
915.616000 192.168.2.254 0 RIPV2 Response 
23 43, 571000 人 RIPV2 Response 
37 73.339000 192.168.2.254 224.0.0.9 RIPV2 Response 


人 打 


5 Frame 37: 126 bytes on wire (1008 bits), 126 bytes captyred (1008 bits) 
H Ethernet I1, Src: HuaweiTe_04:bf:7d (00:e0O:fc:04:bf:7d), Dst: IPVvAmcast_00:;00:09 (€01:00:5e:00:00:09) 
n Internet Protocol, Src: 192.168,2,.254 (192.168.2,.254), Dst: 224.0.0.9 (224.0.0.9) 
a User Datagram Protocol, src¢ Port: router (520), Dst Port: router (520) 
Routing Information Protocol 
command: Response (2) 
Version: RIPv2 (2) 
Routing Domain: 0 
IP Address: 10.0.12.0，Metric: 1 
避 IP Address: 10.0.13.0, Metric:; 2 
d IP Address: 192.168.2.0, Metric: 1 
HIP Address: 192.168,3.0, Metric: 3 


图 7-20” 抓 包 观 察 
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可 以 观察 到 , 此 时 R2 上 连接 财务 部 门 终端 一 侧 的 接口 上 会 通告 RIP 路 由 信息 ， 
而 这 些 RIP 报 文 对 终端 PC 而 言 是 毫 无 用 处 的 。 原 因 是 使 用 network 命令 通告 财务 
部 门 所 在 网 段 后 ，R2 的 该 E 1/0/0 接口 就 会 收发 RIP 协议 报 文 ， 不 管 对 端 设备 是 否 
利用 。 

为 了 使 财务 部 门 的 终端 不 接收 这 些 无 用 RIP 更 新 报 文 ， 可 以 在 R2 的 RIP 进程 中 不 
使 用 network 命令 通告 该 网 段 ， 而 采用 引入 直 连 路 由 的 方式 来 代替 ， 将 财务 部 门 的 网 段 
作为 外 部 路 由 发 布 到 公司 RIP 网 络 中 。 

在 R2 上 使 用 import-route 命令 配置 路 由 引入 ， 指 定 引 入 的 源 路 由 协议 为 直 连 





[R2]rip 1 

[R2-rip-llundo network 192.168.2.0 
[R2-rip-llimport-route direct 

配置 完成 后 ， 查 看 R1 路 由 表 。 
[Rlldisplay ip routing-table 

Route Flags: R -relay, D - download to fib 


ee i ee ee os Sie Dene ong ed oe i Ei Ee em ee De ee 


Routing Tables: Public 


Destinations ; 15 Routes : 15 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 D10.0-12} Ethermet1/0/1 
10.0.12.1/32 Direct 0 0 D 127.0.0.1 Ethermet1/0/] 
10.0.12.255/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
10.0.13.0/24 Direct 0 0 D 10.0.13.1 Ethernet1/0/0 
10.0.13.1/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
10.0.13.255/32 Direct 0 0 1 人 Ethernet1/0/0 
14.1.1.0/24 Direct 0 0 D 14.1.1.1 Ethernet2/0/0 
14.1.1.1/32 Direct 0 0 D 127.0.0.1 Ethernet2/0/0 
14.1.1.255/32 Direct 0 0 D3 1270,0:1 Ethernet2/0/0 
127.0.0.0/8 Direct 0 0 B127:010.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D127.0:0d InLoopBack0 
127.255.255.255/32 ”Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.2.0/24 RIP 100 1 D 10.0.12.2 Ethernet1/0/1 
192.168.3.0/24 RIP 100 1 D 10.0.13.3 Ethemet1/0/0 
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ，R1 上 接收 到 了 R2 引入 的 192.168.2.0/24 网 段 的 路 由 信息 。 

再 次 在 R2 的 E 1/0/0 接口 下 抓 包 ， 如 图 7-21 所 示 。 

可 以 观察 到 ,现在 该 接口 上 没有 发 送 任何 RIP 更 新 报 文 ， 即 此 时 已 经 完成 优化 ， 财 
务 部 门 的 终端 不 再 收 到 与 其 无 关 的 RIP 更 新 报 文 。 

可 以 在 R2 的 E 1O/1 接口 上 抓 取 数 据 包 观 察 区 别 ， 如 图 7-22 所 示 。 

可 以 观察 到 ， 在 该 E 1/0/1 的 接口 上 仍然 正常 发 送 RIP 更 新 报 文 ， 将 引入 后 的 
192.168.2.0/24 网 段 通告 出 去 。 

研发 部 门 也 会 有 相同 的 问题 一 一 收 到 对 用 户 无 用 的 RIP 报 文 ， 同 样 采用 引入 直 连 路 
由 的 方式 来 解决 ， 此 处 省 略 。 
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No. Time Source Destination Protocol Info 
2 6LIZ -TIS8UHUSWGYTTe 7929TI SPanTInO-EPee-\ 人 SIP Wor. KOOL = 34/06/U/4C: LIT: CC 
383 814 .4040 HuaweiTe_79:41: Spanning-tree-(STP MST, Root = 32768/0/4Ac:1f:ce:? 
84 816,6340 HuaweiTe_ .79:41: Spanning-tree-{(STP MST. Root = 32768/0/4c:1f:ee:r 
385 818,7720 HuaweiTe_79:41: Spanning-three-[STP MST, Root = 32768/0/4c:1f:cc:? 
386 820.9090 HuawaiTe_?79:;41: Spanning-tree~-(STP MST. Root = 32768/0/4c:1f:ce:) 
387 823.0930 HuaweiTe_79:41: Spanming-tree-(STP MST. Root = 327068/0/4c:1f:ce:7 
388 825.23t "Qa41; Spanning-tree-(STP MST, Root = 32768/0/4c:1f:ecc:? 
389 B27 , 3830 HuaweiTe_79:41: spanmMmng-tree-( STP MST, Roort = 32708/0/A4c: 1f:cce:? 
390 829, 55i0 HuaweiTe_7F9:41; Spanning-tree-{ STP MST. Root = 32708/0/a4c:1f:ce:7 
91 831.7820 HuaweiTe 2729:41: spanning-tree-( STP MST. Root = 32768/0/4c':1frcc:) » 

2 833.9190 HuaweiTe_79:41: Spanning-tree~ (STP MST. Root = 32768/0/4c:1f:ce:) 

193 836.0410 Huarv 79:41: Spanning-tree- (STP MST. Root = 32768/0/4c:1f:ce:? 
394 838,1630 HuaweiTe_r9r41: Spanning-tree-( STP MST. Root = 32768/0/4c:1f:¢ce: 

是 WH 


dFrame 100: 119 bytes on wire (952 bits), 119 bytes captured (952 bits) 
1 IEEE 802.3 Ethernet 
Logical-Link Control 
Spanning Tree Protocol 
Protoco] Identifier: Spanning Tree Protocol (0Qx0000) 
Protocol Version Identifier: Multiple Spanning Tree (3) 
BPDU Type: Rapid/Multiple Spanning Tree (0x02) 
BPDU flags: 0x7c (Agreement, Forwarding, Learning, Port Role: Designated) 
Root Identifier: 32768 / 0 / 4c:1f:cc:79:41:39 
Root Path Cost: 0 
IBridge Identifier: 32768 / 0 / 4c:1Lf:cc:79:41:39 
Port identifier: 0x8001 
Message Age: 0 
Max Age: 20 


+ 


























0000 EC FY 4L 39 bY 4 
0010 4c 1f ce 79 41 39 00 
0020 #3 39 80 01 00 00 14 
0030 34 63 31 66 .63 63 37 
NNAM AT oD a st ew 
图 7-21 抓 包 观 察 
No. Tirne Source Destination Protocol Info 
;| Re yy. 
5 
6 SpO 
7 92.134000 10.0.12.2 224.0.0.9 RIPV2 Respons 
us Et ED pn ee PE PS 


Frame 7: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 
Ethernet II, Src: HuaweiTe_04;bf;7e (00:;e0:fc:04;bf;7e), Dst; IPv4mcast_00:00:09 (01:00:;5e:00:00:09) 
Internet Protocol, sre: 10.0.12.2 (10.0.12.2), Dst: 224.0.0.9 (224.0.0.,9) 
User Datagram Protocol, src Port: routrer (520), Dst Port; router (520) 
3 Routing Information Protoco] ， 
Command; Response (2) 
Version: RIPV2 (2) 
Routing Domain: 0 
es 02 TR NE 
Address Family: IP (2) 
Routre Tag: 0 
IP Address: 192.168.2.0 (192.168.2.0) 
Netmask: 255.255.255.0 (255.255.255.0) 
Next Hop: 0.0.0.0 {0.0.0.0) 
Metric: 1 


+ | 由 | 六 


图 7-22” 抓 包 观 察 


4. 连接 公司 A 与 公司 B 的 网 络 

由 于 业务 需要 ， 需 要 公司 A 与 B 的 网 络 能 够 互相 访问 。 

在 公司 B 的 网 关 设 备 R1 上 配置 目的 为 192.168.4.0/24 网 段 的 静态 路 由 , 并 在 RIP 进 
程 中 引入 该 条 静态 路 由 , 引入 后 公司 B 中 RIP 网 络 内 的 所 有 路 由 器 会 通过 RIP 协议 自动 
学 习 到 该 路 由 。 

[RIlip route-static 192.168.4.0 255.255.255.0 14.1.1.4 


[RIijrip 1 
[Rl-rip-l]import-route static 


配置 完成 后 ， 查 看 公司 B 的 R2、R3 路 由 表 。 
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<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 13 Routes : 13 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 Direct 0 0 DD 10022 Ethernet1/0/1 
10:0:12.2/32% Direct®? 0 0 D 127.0.0.1 Ethernet1/0/1 
10.0.12.255/32 Direct 0 0 D ‘127.0.0.l Ethernet1/0/1 
10.0.13.0/24 RIP 100 1 B021 Ethemet1/0/1 
127.0.0.0/8 Direct 0 0 DO 12700.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 Dl2700n InLoopBack0 
127.255.255.255/32 Direct 0 0 D27:0:0.1 InLoopBack0 
192.168.2.0/24 Direct 0 0 D 192.168.2.254 Ethemet1/0/0 
192.168.2.254/32 Direct 0 0 D 127.0.0.1 Ethemet1/0/0 
192.168.2.255/32 Direct 0 0 D1270.0:] Ethermnet1/0/0 
192.168.3.0/24 RIP 100 2 D00u2l Ethemet1/0/1 
192.168.4.0/24 RIP 100 1 D 10.0.12.1 Ethemet1/0/1 
255255:2553255/32 "Direct 0% 0 站 UL InLoopBack0 
<R3>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 13 Routes : 13 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.12.0/24 RIP 100 1 D 10.0.13.1 Ethernet1/0/1 
10.0.13.0/24 Direct 0 0 D10.0313:3 Ethermet1/0/1 
10.0.13.3/32 Direct 0 0 T2700 Ethernet1/0/1 
10.0.13.255/32 Direct 0 0 D 127.0.0.1 Ethernetl/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 Do 1270:0:] InLoopBack0 
127.255.255.255/32 Direct 0 0 D1270:0.1 InLoopBack0 
192.168.2.0/24 RIP 100 2 D 10.0.13.1 Ethermmet1/0/1 
192.168.3.0/24 Direct 0 D 192.168.3.254 Ethermetl/0/0 
192.168.3.254/32 Direct 0 0 D 127.0.0.l Ethernet1/0/0 
192.168.3.255/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/0 
192.168.4.0/24 RIP Ee 1 D 10.0.13.1 Ethernet1/0/1 
255.255.255,255/32 Direct 0 DoWI2A00 InLoopBack0 


可 以 观察 到 ， 此 时 公司 B 的 内 部 路 由 器 R2 和 R3 上 能 够 正常 获得 公司 A 内 部 网 段 
的 路 由 信息 。 但 是 此 时 公司 A 的 路 由 器 上 仍然 还 没有 公司 B 的 任何 路 由 信息 。 

在 R4 上 配置 一 条 默认 路 由 ， 下 一 跳 为 Rl1。 

[RA4l]ip route-static 0.0.0.0 0.0.0.0 14.1.1.1 

配置 完成 后 ， 查 看 R4 路 由 表 。 

[R4]display ip routing-table 

Route Flags: R - relay D - download to fib 


Routing Tables: Public 


Destinations : 11 Routes : 11 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0,0/0 Static 60 0 RBS Ethemet1/0/1 
14.1.1.0/24 Direct 0 0 D 14.1.1.4 Ethemet1/0/1 


14.1.1.4/32 Direct 0 0 D 127.0.0.1 Ethernetl1/0/1 
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14.1.1.2535/32 Direct 0 0 D127.0:0:1 Ethemet1/0/1 
127.0.0.0/8 Direct 0 0 D12700:1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D00N InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
192.168.4.0/24 Direct 0 0 D 192.168.4.254 Ethernet1/0/0 
192.168.4.254/32 Direct 0 0 D270:01 Ethernet1/0/0 
192.168.4.255/32 Direct 0 0 D127:0i03L Ethernet1/0/0 
255.255.255.255/32 Direct 0 0 D 127.0.0,1 InLoopBack0 


可 以 观察 到 ， 静 态 路 由 配置 成 功 。 
在 PC-1 上 测试 与 PC-3 间 的 连通 性 。 
PC>ping 192.168.4.1 
Ping 192.168.4.1: 32 data bytes, Press Ctrl_C to break 
From 192.168.4.1: bytes=32 seq=]1 ttl=125 time=47 ms 
From 192.168.4.1: bytes=32 seq=2 ttl=125 time=62 ms 
From 192.168.4.1: bytes=32 seq=3 ttl=125 time=63 ms 
From 192.168.4.1: bytes=32 seq=4 ttl=125 time=47 ms 
From 192.168.4.1: bytes=32 seq=5 ttl=125 time=63 ms 
--- 192.168.4.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 47/56/63 ms 


可 以 观察 到 ，PC-1 与 PC-3 通信 和 正常。 至 此 ， 公 司 A 和 B 之 间 可 以 正常 通信 。 
思考 


使 用 network 命令 方式 通告 路 由 ， 与 路 由 引入 的 方式 通告 路 由 有 什么 区 别 ? 
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8.1 OSPF 单 区 域 配置 


原理 概述 


为 了 弥补 距离 矢量 路 由 协议 的 不 足 , IETF 组 织 于 20 世纪 80 年 代 末 开发 了 一 种 
基于 链 路 状态 的 内 部 网 关 协 议 一 一 OSPF (Open Shortest Path First， 开 放 式 最 短路 径 
优 完 。 

最 初 的 OSPF 规范 体现 在 RFC 1131 中 ， 这 个 第 1 版 《OSPFv1) 很 快 被 进行 了 重大 
改进 ， 新 版 本 体现 在 RFC1247 文档 中 ， 称 为 OSPFV2， 版 本 2 在 稳定 性 和 功能 性 方面 做 
出 了 很 大 的 改进 。 现 在 Pv4 网 络 中 所 使 用 的 都 是 OSPFv2。 

OSPF 作为 基于 链 路 状态 的 协议 ， 具 有 收敛 快 、 路 由 无 环 、 扩 展 性 好 等 优点 ， 被 快 
速 接受 并 广泛 使 用 。 链 路 状态 算法 路 由 协议 互相 通告 的 是 链 路 状态 信息 ， 每 台 路 由 器 都 
将 自己 的 链 路 状态 信息 (包含 接口 的 他 地址 和 子 网 掩 码 、 网 络 类 型 、 该 链 路 的 开销 等 ) 
发 送 给 其 他 路 由 器 , 并 在 网 络 中 泛 洪 , 当 每 台 路 由 器 收集 到 网 络 内 所 有 链 路 状态 信息 后 ， 
就 能 拥有 整个 网 络 的 拓扑 情况 ， 然 后 根据 整 网 拓扑 情况 运行 SPF 算法 ， 得 出 所 有 网 段 的 
最 短路 径 。 

OSPF 支持 区 域 的 划分 ， 区 域 是 从 逻辑 上 将 路 由 器 划分 为 不 同 的 组 ， 每 个 组 用 区 域 
号 (Area ID) 来 标识 。 一 个 网 段 〈 链 路 ) 只 能 属于 一 个 区 域 ， 或 者 说 每 个 运行 OSPF 的 
接口 必须 指明 属于 哪 一 个 区 域 。 区 域 0 为 骨干 区 域 ， 骨 干 区 域 负 责 在 非 骨 干 区 域 之 间 发 
布 区 域 间 的 路 由 信息 。 在 一 个 OSPF 区 域 中 有 且 只 有 一 个 骨干 区 域 。 


实验 目的 


。 掌握 OSPF 单 区 域 的 配置 方法 
e 理解 OSPF 单 区 域 的 应 用 场景 
。 掌握 查看 OSPF 邻居 状态 的 方法 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。 该 公司 有 三 大 办 公 区 ， 每 个 办 公 区 放置 了 一 台 路 由 
器 ，R1 放 在 办 公 区 A，A 区 经 理 的 PC-1 直接 连接 R1; R2 放 在 办 公 区 B，B 区 经 
理 的 PC-2 直接 连接 到 R2;，R3 放 在 办 公 区 C，C 区 经 理 的 PC-3 直接 连接 到 R3; 3 
台 路 由 器 都 互相 直 连 ， 为 了 能 使 整个 公司 网 络 互相 通信 ， 需 要 在 所 有 路 由 器 上 部 署 
路 由 协议 。 考 虑 到 公司 未 来 的 发 展 ( 部 门 的 增加 和 分 公司 的 成 立 )， 为 了 适应 不 断 扩 
展 的 网 络 的 需求 ， 公 司 在 所 有 路 由 器 上 部 署 OSPF 协议 ， 且 现在 所 有 路 由 器 都 属于 骨 
干 区 域 。 


实验 拓扑 
OSPF 单 区 域 配 置 的 拓扑 如 图 8-1 所 示 。 
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图 8-1 OSPF 单 区 域 配 置 拓扑 


实验 编 址 


实验 编 址 见 表 8-1。 
表 8-1 实验 编 址 


没入 ”| ”六 [ ”| Pt ”| ” 子 册 六 机 ”| 了 人 同 关 
| GE00/0 | 172.16.10.1 | 255.255.255.0 | N/A 

R1 (AR2220) N/A 
N/A 

N/A 

人 ae 

| GEooo | 
:GEO 

| GEoo2 


GE 0/0/0 N/A 
R3 (AR2220) GE 0/0/1 N/A 
GE 0/0/2 N/A 

PC-1 172.16.1.254 

PC-2 172.16.2.254 

PC-3 172.16.3.254 
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实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
<R1>ping 172.16.20.3 
PING 172.16.20.3: 56 data bytes, press CTRL C to break 
Reply from 172.16.20.3: bytes=56 Sequence=]1 ttl]=255 time=20 ms 
Reply from 172.16.20.3; bytes=56 Sequence=2 ttl=255 time=20 ms 
Reply from 172.16.20.3: bytes=56 Sequence=3 ttl=255 time=10 ms 
Reply from 172.16.20.3: bytes=56 Sequence=4 ttl=255 time=10 ms 
Reply from 172.16.20.3: bytes=56 Sequence=5 ttl=255 time=10 ms 
--- 172.16.20.3 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/14/20 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 部署 单 区 域 OSPF 网 络 
首先 使 用 ospf 命令 创建 并 运行 OSPF。 
<R1l>system-view 
[Rl]ospf 1 
其 中 ，1 代表 的 是 进程 号 ， 如 果 没 有 写 明 进程 号 ， 则 默认 是 1。 
接着 使 用 area 命令 创建 区 域 并 进入 OSPF 区 域 视图 ， 输 入 要 创建 的 区 域 ID。 由 于 
本 实验 为 OSPF 单 区 域 配 置 ， 所 以 使 用 骨干 区 域 ， 即 区 域 0 即 可 。 
[Rl-ospf-l]area 0 
再 使 用 network 命令 来 指定 运行 OSPF 协议 的 接口 和 接口 所 属 的 区 域 . 本 实验 中 R1 
上 的 3 个 物理 接口 都 需要 指定 。 配 置 中 需 注 意 ， 尽 量 精确 匹配 所 通告 的 网 段 。 


[Rl1-ospf-1-area-0.0.0.0Jnetwork 172.16.10.0 0.0.0.255 
[Ri-osp 他 1-area-0.0.0.0]network 172.16.20.0 0.0.0.255 
[R1-osp 他 1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 


配置 完成 后 使 用 display ospf interface 命令 检查 OSPF 接口 通告 是 否 正确 。 


[RIldisplay ospf interface 
OSPF Process 1 with Router-ID172.,16.1.254 
Interfaces 

Area; 0.0.0.0 (MPLS TE not enabled) 

IPAddress Type State Cot Pri DR BDR 
172,16.1.254 Broadcast DR 1 1 172.16.1.254 0.0.0.0 
172.16.10.1 Broadcast DR 1 1 172.16.10.1 0.0.0.0 
172.16.20.1 Broadcast DR 1 1 172.16.20.1 0.0.0.0 


可 以 观察 到 本 地 OSPF 进程 使 用 的 Router-ID 是 172.16.1.254。 在 此 进程 下 ， 有 3 个 
接口 加 入 了 OSPF 进程 。“Type” 为 以 太 网 默认 的 广播 网 络 类 型 ;“State” 为 该 接口 当前 
的 状态 ， 显 示 为 DR 状态 ， 即 表示 为 这 3 个 接口 在 它们 所 在 的 网 段 中 都 被 选举 为 DR。 

接 下 来 在 R2 和 R3 上 做 相应 配置 ， 配 置 方法 和 R1 相同 ， 不 再 缆 述 。 


[R21]ospf 1 
[R2-0spf-1]area 0 
[R2-0spf-1-area-0.0.0.0]network 172.16.10.0 0.0.0.255 


第 8 章 OSPF 239 





[R2-0spf-1-area-0.0.0.0]network 172.16.30.0 0.0.0,255 
[R2-0spf=1-area-0.0.0.0]network 172,16.2.0 0.0.0.255 


[R3]ospf 1 

[R3-ospf-l]area 0 

[R3-osp 人 1-area-0.0.0.0]network 172.16.20.0 0.0.0.255 
[R3-osp 人 1-area-0.0.0.0]network 172.16.30.0 0.0.0.255 
[R3-osp 人 El-area-0.0.0.0]network 172.16.3.0 0.0.0.255 


3. 检查 OSPF 单 区 域 的 配置 结果 


以 RI1 为 例 使 用 display ospf peer 命令 查看 OSPF 邻居 状态 。 
<R1>display ospf peer 
OSPF Process 1 with Router-ID 172.16.1.254 
Neighbors 
Area 0.0.0.0 interface 172.16.10.1(GigabitEthernet0/0/0)'s neighbors 
Router-ID: 172.16.2.254 Address: 172.16.10.2 
State: Full Mode:Nbris Master Priority: 1 
DR: 172.16.10.1 BDR: 172.16.10.2 MTU:0 
Dead timer due in 35 sec 
Retrans timer interval: 5 
Neighbor is up for 00:07:38 
Authentication Sequence: [0 ] 
Neighbors 
Area 0.0.0.0 interface 172.16.20.1(GigabitEthernet0/0/1)'s neighbors 
Router-ID: 172.16.3.254 Address: 172.16.20.3 
State: Full Mode:Nbris Master Priority: 1 
DR: 172.16.20.1 BDR:172.16.20.3 MTU:0 
Dead timer due in 29 sec 
Retrans timer interval: 5 
Neighbor is up for 00:04:14 
Authentication Sequence: [0 ] 


通过 这 条 命令 ， 可 以 查看 很 多 内 容 。 例 如 ， 通 过 Router-ID 可 以 查看 邻居 的 路 由 器 
标识 ; 通过 Address 可 以 查看 邻居 的 OSPF 接口 IP 地 址 ; 通过 State 可 以 查看 目前 与 该 
路 由 器 的 OSPF 邻居 状态 ;通过 Priority 可 以 查看 当前 该 邻居 OSPF 接口 的 DR 优先 级 等 。 


使 用 display ip routing-table protocol ospf 命令 查看 R1 上 的 OSPF 路 由 表 。 
<Rl1>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 


Destinations : 3 Routes : 4 

OSPF routing table status : <Active> 

Destinations : 3 Routes :4 

Destination/Mask Proto Pre Cost Flags NextHop Interface 

172,16.2.0/24 OSPF 10 2 D 172.16.10.2 GigabitEthernet0/0/0 

172.16.3.0/24 OSPF 人 “学 D 172.16.203 GigabitEthernet0/0/1 

172.16.30.0/24 OSPF 0 六 D 172.16.10.2 GigabitEthernet0/0/0 
OSPF 1030 2 D 172.16.20.3 GigabitEthernet0/0/1 

OSPF routing table status : <Inactive> 

Destinations : 0 Routes :0 


通过 此 路 由 表 可 以 观察 到 ,“Destination/Mask” 标 识 了 目的 网 段 的 前 级 及 掩 码 ， 
“Proto” 标 识 了 此 路 由 信息 是 通过 OSPF 协议 获取 的 ,“Pre” 标 识 了 路 由 优先 级 ， 
“Cost” 标 识 了 开销 值 ,，“NextHop” 标 识 了 下 一 跳 地 址 ，“Interface” 标 识 了 此 前 级 
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的 出 接口 。 

此 时 Ri 的 路 由 表 中 已 经 拥有 了 去 往 网 络 中 所 有 其 他 网 段 的 路 由 条 目 。 用 同样 方法 
查看 R2 与 R3 的 OSPF 邻居 状态 。 

在 PC-1 上 使 用 ping 命令 测试 与 PC-3 间 的 连通 性 。 

PC>ping 172.16.3.1 


Ping 172.16.3.1: 32 data bytes, Press Ctrl_C to break 
From 172.16.3.1: bytes=32 seq=] ttl=126 time=31 ms 
From 172.16,3.1: bytes=32 seq=2 ttl=126 time=32 ms 
From 172.16.3.1: bytes=32 seq=3 ttl=126 time=15 ms 
From 172.16.3.1: bytes=32 seq=4 ttl=126 time=16 ms 
From 172.16.3.1: bytes=32 seq=5 ttl=126 time=16 ms 
--- 172.16.3.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 15/22/32 ms 


通信 正常 ， 其 他 测试 省 略 。 
思考 
请 列举 链 路 状态 协议 与 距离 矢量 路 由 协议 的 相同 点 与 不 同 点 。 


8.2 OSPF 多 区 域 配置 


原理 概述 


在 OSPF 单 区 域 中 ， 每 台 路 由 器 都 需要 收集 其 他 所 有 路 由 器 的 链 路 状态 信息 ， 如 果 
网 络 规模 不 断 扩 大 ， 链 路 状态 信息 也 会 随 之 不 断 增 多 ， 这 将 使 得 单 台 路 由 器 上 链 路 状态 
数据 库 非常 庞大 ， 导 致 路 由 器 负担 加 重 ， 也 不 便于 维护 管理 。 为 了 解决 上 述 问题 ，OSPF 
协议 可 以 将 整个 自治 系统 划分 为 不 同 的 区 域 (Area)， 就 像 一 个 国家 的 国土 面积 很 大 时 ， 
会 把 整个 国家 划分 为 不 同 的 省 份 来 管理 一 样 。 

链 路 状态 信息 只 在 区 域内 部 泛 洪 , 区域 之 间 传 递 的 只 是 路 由 条 目 而 非 链 路 状态 信息 ， 
因此 大 大 减 小 了 路 由 器 的 负担 。 当 一 台 路 由 器 属于 不 同 区 域 时 称 它 为 区 域 边界 路 由 器 
(Area Border Router，ABR)， 负 责 传递 区 域 间 路 由 信息 。 区 域 间 的 路 由 信息 传递 类 似 距 
离 矢 量 算 法 ， 为 了 防止 区 域 间 产 生 环 路 ， 所 有 非 骨干 区 域 之 间 的 路 由 信息 必须 经 过 骨干 
区 域 ， 也 就 是 说 非 骨 干 区 域 必 须 和 骨干 区 域 相 连 ， 且 非 骨 干 区 域 之 间 不 能 直接 进行 路 由 
信息 交互 。 


实验 目的 


e 理解 配置 OSPF 多 区 域 的 使 用 场景 
。 掌握 配置 OSPF 多 区 域 的 方法 
e。 理解 OSPF 区 域 边 界 路 由 器 (ABR) 的 工作 特点 
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实验 内 容 


本 实验 模拟 企业 网 络 场景 。R1、R2、R3、R4 为 企业 总 部 核心 区 域 设 备 ， 属 于 区 域 
0，R5 属于 新 增 分 支 机 构 A 的 网 关 设 备 ，R6 属于 新 增 分 支 机 构 B 的 网 关 设备 。PC-1 和 
PC-2 分 别 属于 分 支 机 构 A 和 B, PC-3 和 PC-4 属于 总 部 管理 员 登 录 设 备 , 用 于 管理 网 络 。 

在 该 网 络 中 , 如 果 设 计 方案 采用 单 区 域 配 置 , 则 会 导致 单一 区 域 LSA 数目 过 于 庞大 ， 
导致 路 由 器 开销 过 高 ，SPF 算法 运算 过 于 频繁 。 因 此 网 络 管理 员 选 择 配置 多 区 域 方 案 进 
行 网 络 配 置 ， 将 两 个 新 分 支 运 行 在 不 同 的 OSPF 区 域 中 ， 其 中 R5 属于 区 域 1，R6 属于 
区 域 2。 


实验 拓扑 
OSPF 多 区 域 配 置 拓扑 如 图 8-2 所 示 。 
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实验 编 址 


实验 编 址 见 表 8-2。 
表 8-2 实验 编 址 


| BthemetO//1 | 10011 | 255.255.2550 _ 
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( 续 表 ) 


设备 默认 网 关 
| GEoo0 | 100121 | 255255.2550 | N/A 
R1 (AR2240) GE 0/0/] 255.255.255.0 N/A 
GE 0/0/2 255.255.255.0 N/A 
GE 0/0/0 255.255.255.0 N/A 
R2 (AR2240) GE 0/0/1 255.255.255.0 N/A 
GE 0/0/2 255.255.255.0 N/A 
GE 0/0/0 255.255.255.0 N/A 
Se GE 0/0/1 255.255.255.0 N/A 
GE 0/0/2 255.255.255.0 N/A 
Ethernet 4/0/0 255.255.255.0 N/A 
GE 0/0/0 255.255.255.0 N/A 


GE 0/0/2 255.255.255.0 N/A 
Ethernet 4/0/0 255.255.255.0 N/A 

GE 0/0/0 255.255.255.0 N/A 
R5 (AR2240) GE 0/0/1 255.255.255.0 N/A 


R4 (AR2240) GE 0/0/1 10.0.24.4 255.255.255.0 N/A 


GE 0/0/2 10.0.1.254 255:255.255;0 N/A 
GE 0/0/0 10.0.26.6 255.255.255.0 N/A 
R6 (AR2240) GE 0/0/1 10.0.46.6 25$.255.2550 N/A 
GE 0/0/2 10.0.2.254 255:255.25S0 N/A 
实验 步骤 
1. 基本 配置 


根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 

<Rl>ping 10.0.15.5 

PING 10.0.15.5: 56 data bytes, press CTRL C to break 

Reply from 10.0.15.5: bytes=56 Sequence=] ttl=255 time=210 ms 

Reply from 10.0.15.5; bytes=56 Sequence=2 ttl=255 time=60 ms 

Reply from 10.0.15.5: bytes=56 Sequence=3 ttl=255 time=60 ms 

Reply from 10.0.15.5: bytes=56 Sequence=4 ttl=255 time=30 ms 

Reply from 10.0.15.5: bytes=56 Sequence=5 ttl=255 time=30 ms 

--- 10.0.15.5 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/ayg/max = 30/78/210 ms 

测试 通过 ， 其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2， 配 置 骨干 区 域 路 由 器 

在 公司 总 部 路 由 器 R1、R2、R3、R4 上 创建 OSPF 进程 ， 并 在 骨干 区 域 0 视图 下 通 
告 总 部 各 网 段 。 


[Rllospf 1 

[Rl-ospf-llarea 0 

[Rl-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255 
[Rl-ospf-1-area-0.0.0.0]Jnetwork 10.0.13.0 0.0.0.255 
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[R2]ospf 1 

[R2-cspf-1]jarea 0 

[R2-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255 
[R2-ospf-1-area-0.0.0.0]network 10.0.24.0 0.0.0.255 


[R3lospf 1 

[R3-osp 人 fl]area0 

[R3-osp 人 1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 
[R3-osp 人 1-area-0.0.0.0]network 10.0.34.0 0,0.0.255 
[R3-osp 他 1-area-0.0.0.0]network 10.0.3.0 0.0.0.255 


[R4]ospf 1 
[R4-ospf-llarea 0 
[BR4-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 
[R4-ospf-1-area-0.0.0.0]network 10.0.24.0 0.0.0.255 
[R4-0spf-1-area-0.0.0.0]network 10.0.4.0 0.0.0.255 
配置 完成 后 ， 测 试 总 部 内 两 台 PC 间 的 连通 性 。 
PC>ping 10.0.4.1 
Ping 10.0.4.1: 32 data bytes, Press Ctrl_C to break 
From 10.0.4.1: bytes=32 seq=] ttl=124 time=15 ms 
From 10.0.4.1: bytes=32 seq=2 ttl=124 time=16 mas 
From 10.0.4.1: bytes=32 seq=3 ttl=124 time=31 ms 
From 10.0.4.1: bytes=32 seq=4 ttl=124 time=15 ms 
From 10.0.4.1: bytes=32 seqg=5 ttl=124 time=32 ms 
-一 10.0.4.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 15/21/32 ms 


已 经 可 以 正常 通信 ， 骨 干 区 域 路 由 器 配置 完成 。 

3， 配置 非 骨 干 区 域 路 由 器 

在 分 支 A 的 路 由 器 R5 上 创建 OSPF 进程 ， 创 建 并 进入 区 域 1， 并 通告 分 支 A 的 相 
应 网 段 。 


[R5]ospf 1 

[RS-osp 人 1]area 1 

[R5-ospf-1-area-0.0.0.1]network 10.0.15.0 0.0.0.255 

[R5-0spf-1-area-0.0.0.1]network 10.0.35.0 0.0.0.255 

[R5-ospf-1-area-0.0.0.1]network 10.0.1.0 0.0.0.255 

在 Rl 和 R3 上 也 创建 并 进入 区 域 1 视图 ， 将 与 RS 相连 的 接口 进行 通告 。 
[Rllospf 1 

[Rl1-ospf-llarea 1 

[Rl-ospf-1-area-0.0.0.1]network 10.0.15.0 0.0.0.255 


[R3]ospf 1 
[R3-ospf-l1]area 1 
[R3-0spf-1-area-0.0.,0,1 Inetwork 10.0.35.0 0.0.0.255 


配置 完成 后 ， 查 看 OSPF 邻居 状态 。 


[RS]display ospf peer 

OSPF Process 1 with Router-ID 10.0.15.5 

Neighbors 

Area 0,0.0.1 interface 10.0.15.5(GigabitEthernet0/0/0)'s neighbors 
Router-ID; 10.0.12.1 Address: 10.0.15,1 
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State: Full Mode:Nbris Slave Priority: 1 
DR: 10.0.15.5 BDR:10.0.15.1 MTU:0 
Deadtimer due in34 5s 

Retrans timer interval: 5 

Neighbor is up for 00:07:46 

Authentication Sequence: [0 ] 

Neighbors 

Area 0.0.0.1 interface 10.0.35.5(GigabitEthernet0/0/1)'s neighbors 
Router-ID: 10.0.34.3 Address: 10.0.35.3 
State: Full Mode:Nbr is Master Priority: 1 
DR: 10.0.35.5 BDR: 10.0.35.3 MTU:0 
Deadtimer due in36 $s 

Retrans timer interval: $5 

Neighbor is up for 00:05:33 

Authentication Sequence: [ 0] 


可 以 观察 到 ， 现 在 Rs 与 R1 和 了 R3 的 OSPF 邻居 关系 建立 正常 ， 都 为 Full 状态 。 


使 用 display ip routing-table protocol ospf 命令 查看 R5 路 由 表 中 的 OSPF 路 由 条 目 。 
[RS]display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fb 


Public routing table : OSPF 


Destinations : 6 Routes:8 

OSPF routing table status : <Active> 

Destinations : 6 Routes :8 

Destination/Mask Proto Pre Cost Flags NextHop Interface 

10.0.3.0/24 OSPF 10 2 D 10.0.35.3 GigabitEthernet0/0/1 

10.0.4.0/24 OSPF 10 3 D 10.0.35.3 GigabitEthernet0/0/] 

10.0.12.0/24 OSPF 10 2 D 10.0.15.1 GigabitEthernet0/0/0 

10.0.13.0/24 OSPF 10 2 D 10.0.15.1 GigabitEthernet0/0/0 
OSPF 10 2 D 10.0.35.3 GigabitEthernet0/0/1 

10.0.24.0/24 OSPF 10 3 D 10.0.15.,1 GigabitEthernet0/0/0 
OSPF 10 3 D 10.0.35.3 GigabitEthernet0/0/1 

10.0.34.0/24 OSPF 10 2 D 10.0.35.3 GigabitEthernet0/0/1 

OSPF routing table status : <Inactive> 

Destinations :0 Routes :0 


可 以 观察 到 ， 除 OSPF 区 域 2 内 的 路 由 外 ， 相 关 OSPF 路 由 条 目 都 已 经 获得 。 在 拓 
扑 中 ,Rl 和 R3 这 两 台 连 接 不 同 区 域 的 路 由 器 称 为 ABR， 即 区 域 边 界 路 由 器 ， 该 类 路 由 
器 设备 可 以 同时 属于 两 个 以 上 的 区 域 ， 但 其 中 至 少 一 个 端口 必须 在 骨干 区 域内 。ABR 是 
用 来 连接 骨干 区 域 和 非 骨干 区 域 的 ， 其 与 骨干 区 域 之 间 既 可 以 是 物理 连接 ， 也 可 以 是 逻 
辑 上 的 连接 。 

使 用 display ospf lsdb 命令 查看 R5 的 OSPF 链 路 状态 数据 库 信 息 。 


<R5>display ospf lsdb 

OSPF Process 1 with Router-ID 10.0.15.5 

Link State Database 

Area: 0.0.0.1 

Type LinkState ID AdvRouter Age Len Sequence Metric 
Router 10.0.12.1 10.0.12.1 11S10036 80000007 1 
Router 10.0.34.3 10.0.34.3 1140 36 80000007 1 
Router 10.0.15.5 10.0.15.5 1124 60 8000000C 1 
Network 10.0.35.3 10.0.34.3 1140 32 80000004 0 
Network 10.0.15.5 10.0.15.5 1145 32 80000005 0 
Sum-Net 10.0.34.0 10.0.34.3 1137 28 80000005 1 
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Sum-Net 10.0.34.0 10.0.12.1 595°28 80000001 2 
Sum-Net 10.0.13.0 10.0.12.1 1168 28 80000004 1 
Sum-Net 10.0.13.0 10,0.34.3 1181 28 80000004 1 
Sum-Net 10.0.12.0 10.0.12.1 1180 28 80000004 1 
Sum-Net 10.0.12.0 10.0.34.3 516 28 80000001 2 
Sum-Net 10.0.3.0 10.0.34.3 1179 28 80000004 | 
Sum-Net 10.0,3.0 10.0.12.1 1125 28 80000004 


可 以 观察 到 ， 关于 其 他 区 域 的 路 由 条 目 都 是 通过 “Sum_Net” 这 类 工 SA 获得 ， 而 这 
类 LSA 是 不 参与 本 区 域 的 SPF 算法 运算 的 。 
对 公司 另 一 分 部 B 的 路 由 器 R6， 和 相应 ABR 设备 R2、R4 也 做 同样 的 配置 。 


[R6]ospf 1 

[R6-o0spf-1]area 2 

[R6-0spf-1-area-0.0.0.2]network 10.0.26.0 0.0.0.255 
[R6-0spf-1-area-0.0.0.2]network 10.0.46.0 0.0.0.255 
[R6-0spf-1-area-0.0.0.2]network 10.0.2.0 0.0.0.255 


[R21ospf 1 
[R2-ospf-1]area 2 
2-osp 人 1-area-0.0.0.2]network 10.0.26.0 0.0.0.255 


[R4]ospf 1 
[R4-0spf-1l]area 2 
, [R4-0spf-1-area-0.0.0.2]network 10.0.46.0 0.0.0.255 


配置 完成 ， 查 看 R6 的 OSPF 路 由 条 目 。 


<R6>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 


Destinations : 9 Routes ; 12 

OSPF routing table status : <Active> 

Destinations : 8 Routes : 11 

Destination/Mask Proto Pre Cost Flags NextHop Interface 

10.0.1.0/24 OSPF 10 4 D 10.0,46.4 GigabitEthernet0/0/1 
OSPF 10 4 D 10.0.26.2 GigabitEthernet0/0/0 

10.0.3.0/24 OSPF 10 3 D 10.0.46.4 GigabitEthernet0/0/1 

10.0.12.0/24 OSPF 10 2 D 10.0.26.2 GigabitEthernet0/0/0 

10.0.13.0/24 OSPF 10 3 D 10.0.46.4 GipgabitEthernet0/0/1 
OSPF 10 3 D 10.0.26.2 GigabitEthernet0/0/0 

10.0.15.0/24 OSPF 10 3 D 10.0.26.2 GigabitEthernet0/0/0 

10.0,24.0/24 OSPF 10 2 D 10.0.26.2 GigabitEthernet0/0/0 
OSPF 10 2 D 10.0.46.4 GigabitEthernet0/0/1 

10.0.34.0/24 OSPF 10 2 D 10.0.46.4 GigabitEthernet0/0/1 

10.0.35.0/24 OSPF 10 3 D 10.0.46.4 GigabitEthernet0/0/1 

OSPF routing table status : <Inactive> 

Destinations : 1 Routes : 1 


观察 到 可 以 正常 接收 到 所 有 OSPF 路 由 信息 。 
测试 分 支 A 和 分 支 B 的 PC-1 和 PC-2 连通 性 。 
PC>ping 10.0.2.1 

Ping 10.0.2.1: 32 data bytes, Press Ctrl C to break 

From 10.0.2.1; bytes=32 seq=] ttl=124 time=32 ms 

From 10.0.2.1; bytes=32 seq=2 ttl=124 time=47 ms 

Erom 10.0.2.1: bytes=32 seq=3 tl=124 time=31 ms 
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From 10.0.2.1: bytes=32 seq=4 ttl=124 time=31 ms 
From 10.0.2.1: bytes=32 seq=5 ttl=124 time=31 ms 
--- 10.0.2.1 ping statistics --- 

5 packet(S) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 31/34/47 ms 


可 以 观察 到 ， 现 在 通信 和 正常。 至此，OSPF 多 区 域 配 置 完成 。 
思考 


在 本 实验 中 ,如 果 现 在 公司 总 部 配置 的 区 域 不 是 骨干 区 域 0， 而 是 其 他 非 骨干 区 域 ， 
会 出 现 什 么 现象 ? 


8.3 ”配置 OSPF 的 认证 


原理 概述 


OSPF 支持 报 文 验 证 功能 ， 只 有 通过 验证 的 报 文才 能 接收 ， 否 则 将 不 能 正常 建立 邻 
居 关 系 。OSPF 协议 支持 两 种 认证 方式 一 一 区 域 认 证 和 链 路 认证 。 使 用 区 域 认证 时 ， 一 
个 区 域 中 所 有 的 路 由 器 在 该 区 域 下 的 认证 模式 和 口令 必须 一 致 ，OSPF 链 路 认证 相 比 于 
区 域 认 证 更 加 灵活 ， 可 专门 针对 某 个 邻居 设置 单独 的 认证 模式 和 密码 。 如 果 同 时 配置 了 
接口 认证 和 区 域 认证 时 ， 优 先 使 用 接口 认证 建立 OSPF 邻居 。 

每 种 认证 方式 又 分 为 简单 验证 模式 、MD5 验证 模式 和 Key chain 验证 模式 。 简 单 验 
证 模式 在 数据 传递 过 程 中 ， 认 证 密 钥 和 密 钥 ID 都 是 明文 传输 ， 很 容易 被 截获 ，MD5 验 
证 模式 下 的 密 钥 是 经 过 MD5 加 密 传 输 ， 相 比 于 简单 验证 模式 更 为 安全 ; Key chain 验证 
模式 可 以 同时 配置 多 个 密 钥 ,不同 密 钥 可 单独 设置 生效 周期 等 。 


实验 目的 


。 理解 OSPF 认证 的 应 用 场景 

e 理解 OSPF 区 域 认 证 和 链 路 认证 的 区 别 
。 掌握 配置 OSPF 区 域 认 证 的 方法 

e 掌握 配置 OSPF 链 路 认证 的 方法 


实验 内 容 


本 实验 模拟 企业 网 络 环境 。R3、R5、R6 属于 公司 总 部 骨干 区 域 路 由 器 , R2 为 ABR。 
公司 分 部 路 由 器 R1 和 R4 都 属于 区 域 1， 但 分 属 不 通 部 门 ，R1 作为 市 场 部 门 网 关 ，R4 
作为 财务 部 门 网 关 。 网 络 管理 员 在 区 域 0 和 区 域 1 上 配置 OSPF 区 域 认 证 ， 其 中 区 域 0 
开启 密 文 认 证 ， 区 域 1 开启 明文 认证 。 为 进一步 提高 该 OSPF 网 络 安全 性 ，R2 和 R4 上 
单独 设置 密 钥 ， 配 置 OSPF 链 路 认证 。 
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实验 拓扑 
配置 OSPF 的 认证 拓扑 如 图 8-3 所 示 。 
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图 8-3 ”配置 OSPF 的 认证 拓扑 


实验 编 址 
实验 编 址 见 表 8-3。 
表 8-3 实验 编 址 
设备 IP 地 址 子 网 掩 码 默认 网 关 
Loopback0 | 1.lll | 255.255.255.255 N/A 
a | Loopback0 | 
ON GE 0/0/0 255.255.255.0 N/A 
Loopback0 2 255.255.255.255 N/A 
GE 0/0/0 10.0.12.2 255.255.255.0 N/A 
R2 (AR2220 
Sy GE 0/0/1 10.0.24.2 255.255.255.0 N/A 
GE 0/0/2 10.0.23.2 255.255.255.0 N/A 
Loopback0 3.3.3.3 255.255.255.255 N/A 
ee GE 0/0/0 10.0.35.3 255.255.255.0 N/A 
GE 0/0/1 10.0.36.3 255.255.255.0 N/A 
GE 0/0/2 10.0.23.3 255.255.255.0 N/A 
pe Loopback0 4.4.4.4 255.255.255.255 N/A 
GE 0/0/0 10.0.24.4 255.255.255.0 N/A 
eo Loopback0 5555 255.255.255.255 N/A 
GE 0/0/0 10.0.35.5 255.255.255.0 N/A 
R6 CAR2220) Loopback0 6.6.6.6 255.255.255.255 N/A 
GE 0/0/0 10.0.36.6 255.255.255.0 N/A 
实验 步骤 
1， 基 本 配置 


根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
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<R1>ping 10.0.12.2 

PING 10.0.12.2: 56 data bytes, press CTRL_C to break 

Reply from 10.0.12.2: bytes=56 Sequence=] ttl=255 time=120 ms 
Reply from 10.0.12.2: bytes=56 Sequence=2 ttl=255 time=90 ms 
Reply from 10.0.12.2: bytes=56 Sequence=3 ttl=255 time=60 ms 
Reply from 10.0.12.2: bytes=56 Sequence=4 ttl=255 time=40 ms 
Reply from 10.0.12.2: bytes=56 Sequence=5 ttl=255 time=30 ms 
-— 10.0.12.2 ping statistics --- 

5 packet(s) transmitted 

$5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 30/68/120 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 OSPF 网 络 
在 公司 总 部 和 分 部 各 台 路 由 器 上 进行 相关 OSPF 多 区 域 配置 。 


[Rllospf 1 

[R1l-ospf-1]area 1 

[Rl1-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255 
[R1-ospf-1-area-0.0.0.1]network 1.1.1.1 0.0.0.0 


[R2]ospf 1 

[R2-0spf-1larea 0 

[R2-osp 人 1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 
[R2-0spf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0 
[R2-ospfljarea 1 

[R2-osp 他 1-area-0.0.0.1j]network 10.0.12.0 0.0.0.255 
[R2-osp 人 1l-area-0.0.0.1jnefwork 10.0.24.0 0.0.0.255 


[R3]ospf 1 

[R3-ospf-1]area 0 

[R3-osp 人 1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 
[R3-ospf-1-area:0.0.0.0Inetwork 10.0.35.0 0.0.0.255 
[R3-ospf1l-area-0.0.0.0]network 10.0.36.0 0.0.0.255 
[R3-osp 人 1-area-0.0.0.0]jnetwork 3.3.3.3 0.0.0.0 


[R4]ospf 1 

[R4-0spf-1]area 1 

[R4-0spf-1-area-0.0.0.1]network 10.0.24.0 0.0.0.255 
[R4-0spf-1-area-0.0.0.1]network 4.4.4.4 0.0.0.0 


[Rs5jospf 1 

[R5-ospf-1]area 0 

[RS-ospf-1-area-0.0.0.0]network 10.0.35.0 0.0.0.255 
[R5-0spf-1-area-0.0.0,0]network 5.5.5.5 0.0.0.0 


[R6]ospf 1 

[R6-ospf-l]area 0 

[R6-osp 他 1-area-0.0.0.0]network 10.0.36.0 0.0.0.255 
[R6-0spf-1-area-0.0.0.0]network 6.6.6.6 0.0.0.0 


其 中 每 全 设备 上 的 环 回 口 地 址 是 为 了 后 续 实验 中 方便 测试 使 用 ， 所 以 需要 通告 到 其 
所 在 区 域 。 
配置 完成 后 测试 各 设备 上 环 回 口 的 连通 性 。 


第 8 章 OSPF 249 


<Rl>ping 6.6.6.6 

PING 6.6.6.6: 56 data bytes, press CTRL C to break 

Reply from 6.6.6.6: bytes=56 Sequence=1 ttl=252 time=30 ms 

Reply from 6.6.6.6: bytes=56 Sequence=2 ttl=252 time=30 ms 

Reply from 6.6.6.6: bytes=56 Sequence=3 ttl=252 time=40 ms 

Reply from 6.6.6.6: bytes=56 Sequence=4 ttl=252 time=30 ms 

Reply from 6.6.6.6: bytes=56 Sequence=5 ttl=252 time=30 ms 

-一 6.6.6.6 ping statistics -一 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 30/32/40 ms 

可 以 正常 通信 ， 其 他 环 回 口 的 测试 省 略 。 

3， 配 置 公司 分 部 OSPF 区 域 明 文 认 证 

网 络 管理 员 在 公司 分 部 的 OSPF 区 域 1 中 配置 区 域 明文 认证 。 

在 Rl 上 OSPF 的 区 域 1 视图 下 使 用 authentication-mode 命令 指定 该 区 域 使 用 认证 
模式 为 simple， 即 简单 验证 模式 ， 配 置 口令 为 huaweil， 并 配置 plain 参数 。 

配置 plain 参数 后 ， 可 以 使 得 在 查看 配置 文件 时 ， 口 令 均 以 明文 方式 显示 。 如 果 不 
设置 该 参数 的 话 ， 在 查看 配置 文件 时 ， 默 认 会 以 密 文 方式 显示 口令 ， 即 无 法 查看 到 所 配 
置 的 口令 原文 ， 这 可 以 使 非 管理 员 用 户 在 登录 设备 后 无 法 查看 到 口令 原文 ， 从 而 提高 安 
全 性 。 

[Rllospf 1 

[Rl-ospf-l]area 1 

[Rl1-ospf-1-area-0.0.0.1]authentication-mode simple plain huaweil 

[R1-ospf-1-area-0.0.0.1]display this 

[Y200R003C00] 

国 

area 0.0.0.1 
authentication-mode simple plain huaweil 
network 1.1.1.1 0.0.0.0 
network 10.0.12.0 0.0.0.255 


# 
Return 


可 以 观察 到 ， 此 时 以 明文 方式 显示 口令 。 
在 Rl 上 重新 配置 区 域 认 证 命令 ， 并 查看 配置 。 


[Rl-ospf-1-area-0.0.0.1]authentication-mode simple huaweil 
[Rl-ospf-1-area-0.0.0.1]display this 
[V200R003C00] 
# 

area 0.0.0.1 
authentication-mode simple cipher %$%$PI/9Ac} uERifpO}IIOJN<+@%S$%S 
network 1.1.1.1 0.0.0.0 

network 10.0.12.0 0.0.0.255 

# 


Retumn 
可 以 观察 到 ， 默 认 情 况 下 ， 口 令 以 密 文 形式 显示 。 
配置 完成 ， 等 待 OSPF 网 络 收敛 之 后 ， 查 看 R1 与 R2 的 OSPF 邻居 。 


<R1>display ospf peer brief 


250 HCNA 网 络 技术 实验 指南 


OSPF Process 1 with Router-ID 1 
Peer Statistic Information 


可 以 观察 到 , 现在 R1 与 R2 邻居 关系 中 断 了 , 原因 是 目前 仅仅 在 R1 上 配置 了 认证 ， 
导致 R1 和 R2 间 的 OSPF 认证 不 匹配 。 
继续 配置 该 区 域 的 另 一 台 设 备 R2， 必 须要 保证 验证 模式 一 致 ， 口 令 也 一 致 。 


[R21]ospf 1 
[R2-0spf-1]area 1 
[R2-0spf-1-area-0.0.0.1]authentication-mode simple huaweil 


配置 完成 后 ， 等 待 一 段 时 间 ， 再 次 观察 两 者 的 邻居 关系 。 


<R1>display ospf peer brief 
OSPEF Process 1 with Router-ID 10.0.12.1 
Peer Statistic Information 
Area Id Interface Neighborid State 
0.0.0.1 GigabitEthernet0/0/0 10.0.12.2 Full 


可 以 观察 到 ， 现 在 R1 与 R2 的 邻居 关系 状态 恢复 正常 。 
同 理 在 R4 上 也 做 相同 配置 。 


[R4lospf 1 
[R4-ospf-1]area 1 
[R4-0spf-1-area-0.0.0.1]authentication-mode simple huaweil 


配置 完成 后 ， 在 R2 上 查看 OSPF 邻居 关系 。 


[R2]display ospf peer brief 
OSPF Process 1 with Router-ID 10.0.12.2 
Peer Statistic Information 
Area Id Interface Neighbor id State 
0.0.0.0 GigabitEthernet0/0/2 10.0.23.3 Full 
0.0.0.1 GigabitEthernet0/0/0 10.0.12.1 Full 
0.0.0.1 GigabitEthernet0/0/1 10.0.24.4 Full 


可 以 观察 到 ， 现 在 区 域 1 中 的 邻居 关系 都 建立 正常 。 

4. 配置 公司 总 部 OSPF 区 域 密 文 认证 

根据 设计 ， 网 络 管理 员 在 公司 总 部 OSPF 区 域 0 中 配置 区 域 密 文 认证 。 

在 R2 上 配置 OSPF Area 0 区 域 认 证 ， 使 用 验证 模式 为 mds， 即 MD5 验证 模式 ， 验 
证 字 标 识 符 为 1， 配置 口令 为 huawei3 。 

[R21]ospf 1 

[R2-ospf-l]area 0 

[R2-0spf-1-area-0.0.0.0]authentication-mode md5$ 1 huawei3 

继续 在 其 他 骨干 路 由 器 上 做 相同 配置 。 注 意 ， 密 文 认证 必须 保证 验证 字 标 识 符 和 口 
令 完 全 一 致 认证 才 可 以 通过 。 

[R3]ospf 1 

[R3-ospf-1]area 0 

[R3-ospf-1-area-0.0.0.0]authentication-mode mds 1 huawei3 
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[Rslospf 1 
[R5-ospf-1]area 0 
[R5-0ospf-1-area-0.0.0.0]Jauthentication-mode md5 1 huawei3 


[R6]ospf 1 
[R6-ospf-llarea 0 
[R6-ospf-1-area-0.0.0.0]authentication-mode md5 1 huawei3 


配置 完成 后 ， 查 看 R3 的 OSPF 邻居 状态 。 


<R3>display ospf peer brief 





OSPF Process 1 with Router-ID 10.0.23.3 
Peer Statistic Information 


Area Id Interface Neighbor id State 
0.0.0.0 GigabitEthemet0/0/2 10.0.12.2 Full 
0.0.0.0 GigabitEthernet0/0/0 10.0.35.5 Full 
0.0.0.0 GigabitEthernet0/0/1 10.0.36.6 Full 


可 以 观察 到 ，OSPF 邻居 状态 建立 正常 ， 其 他 设备 上 的 查看 过 程 省 略 。 
5. 配置 OSPF 链 路 认证 
在 上 面 两 个 步骤 中 ， 使 用 了 OSPF 的 区 域 认 证 方式 配置 了 OSPF 认证 ， 使 用 链 路 认 


证 方式 配置 可 以 达到 同样 的 效果 。 如 果 采 用 链 路 认证 的 方式 ， 就 需要 在 同一 OSPF 的 链 
路 接口 下 都 配置 链 路 认证 的 命令 ,设置 验证 模式 和 口令 等 参数 ， 而 采用 区 域 认 证 的 方式 
时 ， 在 同一 区 域 中 ， 仅 需 在 , OSPF 进程 下 的 相应 区 域 视图 下 配置 一 条 命令 来 设置 验证 模 
式 和 口令 即 可 ， 大 大 节省 了 配置 量 ， 所 以 在 同一 区 域 中 如 果 有 多 人 台 OSPF 设备 需要 配置 
认证 ， 建 议 选用 区 域 认证 的 方式 进行 配置 。 


目前 公司 分 部 的 OSPF 区 域 中 配置 了 简单 模式 的 区 域 认证 ， 为 了 进一步 提升 R2 与 


R4 之 间 的 OSPF 网 络 安全 性 ， 网 络 管理 员 需 要 在 两 台 设 备 之 间 部 署 MD5 验证 模式 的 
OSPF 链 路 认证 。 


在 R2 的 GE 0/0/1 接口 下 使 用 ospf authentication-mode 命令 配置 链 路 认证 ， 配 置 使 


用 MD5 验证 模式 ， 验 证 字 标 识 符 为 1， 口令 为 huaweiS 。 


[R2]interface GigabitEthernet 0/0/1 
[R2-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei5 
配置 完成 后 ， 等 待 一 段 时 间 ， 查 看 R2 上 的 简要 OSPF 邻居 信息 。 
[R2]display ospf peer brief 
OSPF Process 1 with Router-ID 10.0.12.2 


Peer Statistic Information 


Area Id Interface Neighbor id State 
0.0.0.0 GigabitEthernet0/0/2 10.0.23.3 Full 
0.0.0.1 GigabitEthernet0/0/0 10.0.12.,1 Full ， 


发 现 R2 与 R4 间 的 OSPF 邻居 关系 已 经 消失 。 虽 然 已 经 配置 好 区 域 认 证 ， 但 是 如 果 


同时 配置 了 接口 认证 和 区 域 认 证 时 ， 会 优先 使 用 接口 验证 建立 OSPF 邻居 。 所 以 R4 在 
没有 配置 链 路 认证 之 前 ，R2 与 R4 的 邻居 关系 会 因 认 证 不 匹配 而 无 法 建立 。 


同样 在 R4 上 配置 链 路 ， 注 意 ， 验 证 模式 、 标 识 符 、 口 令 都 需要 保持 一 致 。 
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[R4]interface GigabitEthernet 0/0/0 
[R4-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei5 


配置 完成 后 ， 等 待 一 段 时 间 ， 再 次 查看 R4 的 OSPF 邻居 信息 。 


<R4>display ospf peer brief 
OSPF Process 1 with Router-ID 10.0.24.4 
Peer Statistic Information 
Area Id Interface Neighbor id State 
0.0.0.1 GigabitEthernet0/0/0 10.0.12.2 Full 


可 以 观察 到 ， 邻 居 关系 已 经 恢复 正常 。 至 此 ，OSPF 链 路 认证 配置 完成 。 
思考 
OSPF 认证 如 果 采 用 MD5 验证 模式 ， 有 没有 办 法 可 以 获取 其 密 钥 内 容 ? 


8.4 ”OSPF 被 动 接口 配置 


原理 概述 


OSPF 被 动 接口 也 称 抑制 接口 ， 成 为 被 动 接口 后 ， 将 不 会 接收 和 发 送 OSPF 报 文 。 
如 果 要 使 OSPF 路 由 信息 不 被 某 一 网 络 中 的 路 由 器 获得 且 使 本 地 路 由 器 不 接收 网 络 
中 其 他 路 由 器 发 布 的 路 由 更 新 信息 , 即 已 运行 在 OSPF 协议 进程 中 的 接口 不 与 本 链 路 
上 其 余 路 由 器 建立 邻居 关系 时 ， 可 通过 配置 被 动 接口 来 禁止 此 接口 接收 和 发 送 OSPF 
报 文 。 


实验 目的 


e 理解 OSPF 被 动 接口 的 应 用 场景 
e 掌握 OSPF 被 动 接口 的 配置 方法 
e 理解 OSPF 被 动 接口 的 作用 原理 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。 有 路 由 器 R1、R2、R4 与 R5 分 属 不 同 部 门 的 网 关 设 备 ， 
每 台 设 备 都 连接 着 各 部 门 的 员工 终端 ， 公 司 整 网 运行 OSPF 协议 ， 并 都 处 于 区 域 0 中 。 
员工 终端 上 经 常 收 到 路 由 器 发 送 的 OSPF 数据 报 文 ， 而 该 报 文 对 终端 而 言 毫 无 用 处 ， 还 
占用 了 一 定 的 链 路 带宽 资源 , 并 有 可 能 引起 安全 风险 ,比如 非法 接 入 路 由 器 做 路 由 欺骗 。 
现 通告 配置 被 动 接 口 来 实现 阻隔 OSPF 报 文 ， 优 化 公司 网 络 。 


实验 拓扑 
OSPF 的 被 动 接口 拓扑 如 图 8-4 所 示 。 
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图 8-4 ”OSPF 的 被 动 接口 拓扑 
实验 编 址 
实验 编 址 见 表 8-4。 
表 8-4 实验 编 址 
设备 接口 子 网 掩 码 默认 网 关 
PC-1 EthemetO/o/l | 10.0.1.1 | 255.255.255.0 10.0.1.254 


PC-2 Ethernet 0/0/1 10.0.2.1 255.255.255.0 10.0.2.254 
PC-3 Ethernet 0/0/1 255.255.255.0 10.0.3.254 
PC-4 Ethemet0/0/1 | 10041 | 255.255.255.0 10.0.4.254 

GE 0/0/0 10.0.3.254 255.255.255.0 N/A 

R1 (AR2220) 

GE 0/0/1 255.255.255.0 N/A 
GE 0/0/0 10.0.23.2 255.255.255.0 N/A 
R2 (AR2220) 
GE 0/0/1 10.0.4.254 255.255.255.0 N/A 
GE 0/0/0 10.0.13.3 255.255.255.0 N/A 
R3 (AR2220) GE 0/0/1 10.0.23.3 255.255.255.0 N/A 
GE 0/0/2 10.0.30.3 255.255.255.0 N/A 
GE 0/0/0 10.0.30.4 255.255.255.0 N/A 

R4 (AR2220) 

GE 0/0/1 10.0.1.254 255.255.255.0 N/A 

GE 0/0/0 10.0.30.5 255.255.255.0 N/A 

R5 (AR2220) 

GE 0/0/1 10.0.2.254 255.255.255.0 N/A 
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实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 


<R1>ping 10.0.3.1 

PING 10.0.3.1: 56 data bytes, press CTRL C to break 
Reply from 10.0.3.1: bytes=56 Sequence=]1 ttl=128 time=30 ms 
Reply from 10.0.3.1: bytes=56 Sequence=2 ttl=128 time=10 ms 
Reply from 10.0.3.1: bytes=56 Sequence=3 ttl=128 time=] ms 
Reply from 10.0.3.1: bytes=56 Sequence=4 ttl=128 time=] ms 
Reply from 10.0.3.1: bytes=56 Sequence=5 ttl=128 time=10 ms 
--- 10.0.3.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 1/10/30 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 OSPF 网 络 
配置 基本 的 OSPF， 所 有 路 由 器 的 接口 都 运行 在 区 域 0 内 。 


[Rl]ospf 1 

[Rl-ospf-llarea 0 

[Rl-ospf-1-area-0.0.0.0Jnetwork 10.0.13.0 0.0.0.255 
[Ri-ospf-1-area-0.0.0.0]network 10.0.3.0 0.0.0.255 


[R2]ospf 1 

[了 2-ospf-1]area 0 

[R2-osp 人 1-area-0.0.0.0]network 10.0.4.0 0.0.0.255 
[R2-0spf-1-area-0.0.0.0Inetwork 10.0.23.0 0.0.0.255 


[R3]ospf 1 

[R3-ospf-1]area 0 

[R3-osp 人 1-area-0.0.0.0jnetwork 10.0.13.0 0.0.0.255 
[R3-0spf-1-area-0.0.0.0Jnetwork 10.0.23.0 0.0.0.255 
[R3-0spf-1-area-0.0,0.0]network 10.0.30.0 0.0.0.255 


[R4]ospf 1 

[R4-ospf-1]area 0 

[R4-ospf-1-area-0.0,0.0]network 10.0.30.0 0.0.0.255 
[R4-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255 


[RSlospf 1 

[R5-ospf-1]area 0 

[RS-osp 他 1-area-0.0.0.0]network 10.0.30.0 0.0.0.255 
[RS5-osp 人 1-area-0.0.0.0]network 10.0.2.0 0.0.0.255 
配置 完成 之 后 , 在 PC 上 测试 各 网 段 间 的 连通 性 ， 以 PC-3 与 PC-4 间 的 连通 性 为 例 。 
PC>ping 10.0.4.1 

Ping 10.0.4.1: 32 data bytes， Press Ctrl C to break 
From 10.0.4.1: bytes=32 seq=] ttl=125 time=16 ms 
From 10.0.4.1: bytes=32 seq=2 ttl=125 time=16 ms 
From 10.0.4.1: bytes=32 seq=3 ttl=125 time=15 ms 
From 10.0.4.1: bytes=32 seq=4 ttl=125 time=32 ms 
From 10.0.4,1: bytes=32 seq=5 ttl=125 time=15 ms 
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-— 10.0.4.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 15/18/32 ms 


可 以 观察 到 ， 通 信和 正常 建立 ， 其 他 测试 省 略 。 
在 PC-1 的 接口 E0/0/1 上 抓 包 ， 如 图 8-5 所 示 。 


13 54.234000 10.0.1.254 224.0.0.5 OSPF Hello PackKet 
14 63. 719000 10.0.1.254 224.0.0.5 OSPF Hello Packet 
15 73. 219000 10.0.1.254 224.0.0.5 OsSPF Hello packet 
16 82.703000 10.0.1.254 224.0.0.5 OSPF Hello Packet 
17 92.203000 10.0.1.254 224.0.0.5 OSPF Hello Packet 
18 101.703000 10.0.1.254 224.0.0.5 OSPF Hello Packet 
19 111.187000 10.0.1.254 224.0.0.5 OSPF He]1o Packert 
20 120.687000 10.0.1.254 224.0.0.5 OSPF Hello Packet 
21 130.187000 10.0.1.254 224.0.0.5 OSPF Hello Packet 
图 8-5 抓 包 观察 


发 现 该 PC 所 在 部 门 的 网 关 路 由 器 R4 在 不 停 地 向 这 条 线路 发 出 OSPF 的 Hello 报 
文 尝试 发 现 邻 居 ， 而 对 于 PC 而 言 ， 该 报 文 是 毫 无 用 处 的 ， 同 时 也 是 不 安全 的 。 在 
OSPF 的 Hello 报 文中 含有 很 多 OSPF 网 络 的 重要 信息 ， 如 果 被 恶意 截取 ， 容 易 出 现 
安全 隐患 。 

3， 配置 被 动 接口 

现在 网 络 管理 员 通 过 配置 被 动 接口 来 优化 连接 终端 的 网 络 ， 使 终端 不 再 收 到 任何 
OSPF 报 文 。 

在 R4 的 OSPF 进程 中 ， 使 用 silent-interface 命令 禁止 接口 接收 和 发 送 OSPF 报 文 。 


[R4]ospf 1 
[R4-ospf-1]jsilent-interface GigabitEthernet 0/0/] 


配置 完成 后 ， 再 次 观察 抓 包 结 果 ， 如 图 8-6 所 示 。 


No. Time Source Daxtinution Protocol |Info 
4 27.422000 10.0.1.254 224;0.0.5 osPF Hello Packet 
5 36,594000 10,0.1,254 224.0.0,5 osPF Hello Packet 
6 37.797000 10.0.1.254 224.0.0.5 OSPF Hello Packert 











7 47.063000 10.0.1.254 AaQ QS OSPF Hello Packert 
8 117.797000 HuUaweiTe_cf:43:01 Broadcast o has 10.0, 
9 117.891000 HUaweiTe_03:5e:38 HuaweiTe_cf:;43:01 ARP LTO"Ou 2540 





TOLL SILO00 LO 0. 1:1 L100.L.254 ICMp Echo Coinay i 
11 118; 000000 10.,0.1.254 TON ICMP Echo Cping) i 
12 119:000000 10. 0- T:1 10.0,.1.254 IEMP Echo Cping) i 


Ei | 
图 8-6 ” 抓 包 观 察 


发 现 OSPF 的 报 文 在 Time 为 47 时 间 之 后 已 经 不 再 周期 性 发 送 任何 OSPF 的 Hello 
报 文 。 

如 果 R4 上 有 多 个 接口 需要 设置 为 被 动 接口 ， 只 有 GE 0/0/1 接口 保持 活动 状态 ， 可 
以 通过 以 下 命令 简化 配置 。 


[R4]Jospf 1 
[R4-o0spf-1 |]silent-interface all 
[R4-0spf-lJundo silent-interface GigabitEthernet 0/0/1 


这 两 种 方法 都 可 以 将 GE 0/0/1 接口 设置 为 被 动 接口 ， 区 别 在 于 第 一 种 方法 只 是 单独 
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对 某 一 个 接口 进行 被 动 操作 ， 而 第 二 种 是 在 对 所 有 接口 配置 为 被 动 接口 后 ， 再 排除 不 需 


要 配置 为 被 动 接 口 的 接口 。 

同样 在 其 他 部 门 的 网 关 路 由 器 上 进行 相应 配置 ， 使 得 所 有 部 门 的 终端 都 不 再 收 到 无 
关 的 OSPF 报 文 。 

[Rllospf 1 


[R1-ospf-1]silent-interface GigabitEthernet 0/0/0 


[R21ospf 1 
[R2-ospf-1]silent-interface GigabitEthernet 0/0/1 


[RS5]ospf 1 
[RS5-ospf-1]silent-interface GigabitEthernet 0/0/1 


4. 验证 被 动 接口 

配置 被 动 接口 , 该 接口 会 禁止 接收 和 发 送 OSPF 报 文 , 故 假使 在 两 台 路 由 器 间 OSPF 
链 路 的 接口 上 也 做 该 配置 ， 会 导致 OSPF 邻居 的 无 法 建立 。 

以 R5 为 例 ， 将 其 GE 0/0/0 接口 配置 为 被 动 接 口 。 

[RS5lospf 1 

[R5-0spf-1lsilent-interface GigabitEthernet 0/0/0 

配置 完成 后 ， 查 看 RS 的 OSPF 邻居 关系 状态 。 

<R5>display ospf peer 

OSPF Process 1 with Router-ID 10.0.30.5 

可 以 观察 到 ， 此 时 R5 的 OSPF 邻居 全 部 消失 。 

查看 R5 上 的 OSPF 路 由 条 目 。 

<R5>display ip routing-table protocol ospf 

可 以 观察 到 ， 所 有 的 OSPF 路 由 条 目 都 丢失 。 即 验证 了 配置 了 被 动 接口 后 ，OSPF 
报 文 不 再 转发 ， 包 括 建立 邻居 和 维护 邻居 的 Hello 报 文 。 

在 上 一 步骤 中 ，R4 的 GE 0/0/1 接口 已 经 被 配置 了 被 动 接口 ， 那 么 配置 该 被 动 接口 
上 的 相关 网 段 的 路 由 信息 能 否 正常 地 被 其 他 邻居 路 由 器 收 到 ? 

在 Rl 上 查看 R4 被 动 接口 GE 0/0/1 上 所 连 网 段 的 路 由 条 目 10.0.1.0/24。 


<Rl>display ip routing-table 10.0.1.1 

Route Flags: R-relay, D- download to fib 

Routing Table ; Public 

Summary Count : 1 

Destination/Mask Proto Pre Cost Flags NextHop Interface 

10.0.1.0/24 OSPF 10 3 D 10.0.13.3 GigabitEthemet0/0/] 

可 以 观察 到 ， 此 时 其 他 邻居 路 由 器 仍然 可 以 收 到 该 网 段 的 路 由 条 目 。 

被 动 接口 特性 为 只 是 不 再 收发 任何 OSPF 协议 报 文 ， 但 是 被 动 接 口 所 在 网 段 的 直 连 
路 由 条 目 如 果 已 经 在 OSPF 中 通告 ， 那 么 也 会 被 其 他 的 OSPF 邻居 路 由 器 接收 到 。 

在 PC-1 上 ， 测 试 与 PC-4 之 间 的 连通 性 。 

PC>ping 10.0.4.1 

Ping 10.0.4.1;: 32 data bytes, Press Ctrl_C to break 

From 10.0.4.1: bytes=32 seq=l ttl=125 time=32 ms 

From 10,0.4.1: bytes=32 seq=2 ttl=125 time=46 ms 

From 10.0.4.1: bytes=32 seq=3 ttl=125 time=47 ms 

From 10.0.4,1: bytes=32 seq=4 ttl=125 time=32 ms 

From 10.0.4.1: bytes=32 seq=5 ttl=125 time=31 ms 
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-一 10.0.4.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 31/37/47 ms 


可 以 观察 到 ， 通 信 正 常 ， 完 全 不 受 影响 。 
思考 


在 本 实验 中 ， 通 过 配置 被 动 接口 可 以 禁止 OSPF 收发 Hello 报 文 ， 是 否 还 有 其 他 办 
法 也 能 实现 ? 


8.5 理解 OSPF Router-ID 


原理 概述 


一 些 动态 路 由 协议 要 求 使 用 Router-ID 作为 路 由 器 的 身份 标示 ， 如 果 在 启动 这 些 路 
由 协议 时 没有 指定 Router-ID， 则 默认 使 用 路 由 器 全 局 下 的 路 由 管理 Router-ID。 

Router-ID 选举 规则 为 ， 如 果 通 过 Router-ID 命令 配置 了 Router-ID， 则 按照 配置 结 
果 设 置 。 在 没有 配置 Router-ID 的 情况 下 ， 如 果 存 在 配置 了 卫 地 址 的 Loopback 接口 ， 则 
选择 Loopback 接口 地 址 中 最 大 的 地 址 作为 Router-ID; 如 果 没 有 已 配置 IP 地 址 的 
Loopback 接口 ， 则 从 其 他 接口 的 IP 地 址 中 选择 最 大 的 地 址 作为 Router-ID 〈 不 考虑 接口 
的 Up/Down 状态 )。 

当 且 仅 当 被 选 为 Router-ID 的 接口 IP 地 址 被 删除 /修改 ， 才 触发 重新 选择 过 程 ， 
其 他 情况 (例如 接口 处 于 DOWN 状态 ; 已 经 选取 了 一 个 非 Loopback 接口 地 址 后 又 
配置 了 一 个 Loopback 接口 地 址 ; 配置 了 一 个 更 大 的 接口 地 址 等 ) 不 触发 重新 选择 
的 过 程 。 

Router-ID 改变 之 后 ， 各 协议 需要 通过 手工 执行 reset 命令 才 会 重新 选取 新 的 
Router-ID 。 


实验 目的 

e 理解 Router-ID 的 选举 规则 

e 掌握 OSPF 手动 配置 Router-ID 的 方法 

e 理解 OSPF 中 Router-ID 必须 唯一 的 意义 
实验 内 容 

本 实验 模拟 企业 网 络 环境 。R1 为 部 门 A 的 网 关 设 备 ，R3 为 部 门 B 的 网 关 设 备 ，R4 
为 部 门 C 的 网 关 设 备 ，R2 为 企业 核心 路 由 器 。 现 网 络 中 运行 OSPF 协议 实现 全 网 互通 ， 


所 有 路 由 器 运行 在 区 域 0 内 ， 网 络 管理 员 需 要 正确 配置 Router-ID 以 避免 产生 不 必要 的 
问题 。 
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实验 拓扑 


理解 OSPF 的 Router-ID 拓扑 如 图 8-7 所 示 。 
‘10.0.2.254| 


GE 0/0/1 












Ethernet 0/0/1 
0021 
T00230124 部 门 B 








R4 PC-3 


T0031 都 门 5 
图 8-7 理解 OSPF 的 Router-ID 拓扑 
实验 编 址 
实验 编 址 见 表 8-5。 
表 8-5 实验 编 址 

设备 默认 网 关 
PC-1 | EthemetO/0/1 | 10011 | 255255.2550 | 10.0.1.254 
PC-2 10.0.2.254 
PC-3 10.0.3.254 

| Loopback0 | 1lll | 255.255.255.255 | N/A 

R1 (AR2220) N/A 

N/A 

N/A 

二 NA 

N/A 

N/A 

N/A 

R3 (AR2220) N/A 

N/A 

N/A 

R4 (AR2220) N/A 

N/A 


实验 步骤 
1. 验证 Router-ID 选举 规则 
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在 进行 基本 配置 之 前 ， 在 R1 上 使 用 display Route-ID 命令 来 查看 当前 设备 上 的 
Router-ID 。 

[R1l]display Router-ID 

Router-ID:0.0.0.0 

可 以 观察 到 ， 在 设备 没有 配置 任何 接口 时 ，Router-ID 为 0.0.0.0。 

根据 实验 编 址 表 ， 在 R1 的 GE 0/0/1 接口 上 配置 IP 地 址 10.0.12.1，GE 0/0/0 接口 配 
置 他 地址 10.0.1.254， 配 置 环 回 接口 0 的 地 址 1.1.1.1。 


[Rllinterface gigabitethernet 0/0/1 
[RI-GigabitEthernet0/0/1]ip addres 10.0.12.1 24 
[R1-GigabitEthernet0/0/1linterface gigabitethernet 0/0/0 
[R1-GigabitEthernet0/0/0]Jip addres 10.0.1.254 24 
[R1-GigabitEthernet0/0/0linterface loopback 0 
[Rl1-LoopBack0lip addres1.1.1.1 32 

配置 完成 后 ， 在 R1 上 查看 所 有 接口 信息 。 
<Rl>display ip interface brief 

*down: administratively down 

^down: standby 

(1): loopback 

(8): spoofing 

The number of interface that is UP in Physical is 4 

The number of interface that is DOWN in Physical is 1 
The number of interface that is UP in Protocol is 4 

The number of interface that is DOWN in Protocol is 1 


Interface IP Address/Mask Physical Protocol 
GigabitEthernet0/0/0 10.0.1.254/24 up up 
GigabitEthernet0/0/1 10.0.12.1/24 up up 
GigabitEthernet0/0/2 unassigned down down 
LoopBack0 L11182 up up(s) 
NULL0 unassigned up up(s) 
可 以 观察 到 ， 目 前 所 配置 的 接口 及 IP 地 址 信息 。 

查看 当前 设备 上 的 Router-ID。 

[Rll]display Router-ID 


Router-ID:10.0.12.1 

可 以 观察 到 当前 设备 上 的 全 局 Router-ID 为 10.0.12.1， 而 不 是 环 回 接口 地 址 1.1.1.1， 
这 是 为 什么 ? 

原因 是 接口 配置 顺序 会 影响 Router-ID 的 选举 ， 因 为 设备 上 第 一 次 配置 的 是 物理 接 
口 的 地 址 ， 该 动作 便 会 触发 Router-ID 的 选举 。 而 此 刻 ， 设 备 上 也 有 且 仅 有 该 物理 地 址 ， 
所 以 该 地 址 便 会 被 Router-ID 所 使 用 ， 后 续 即使 再 配置 了 环 回 接口 地 址 也 不 会 使 用 。 同 
理 , 如 果 第 一 次 配置 的 是 其 他 物理 接口 的 地 址 , 或 者 是 环 回 接口 的 地 址 , 都 会 被 Router-ID 
所 使 用 。 

在 Rl 上 删除 接口 GE 0/0/1 的 人 P 地址 ， 并 再 次 查看 此 时 设备 的 Router-ID。 


[Rilinterface gigabitethernet 0/0/1 
[R1-GigabitEthernet0/0/1Jundo ip address 


[Rlldisplay Router-ID 
Router-ID:1.1.1.1 


可 以 观察 到 ， 当 删除 当前 Router-ID 所 使 用 的 IP 地 址 时 ， 便 会 触发 重新 选举 ， 按 照 
环 回 接口 优先 的 规则 选择 使 用 1.1.1.1 作为 Router-ID。 
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可 以 采用 手动 配置 的 方式 强制 指定 Rl 的 Router-ID 为 1.1.1.1。 这 样 配置 的 优点 是 ， 
即使 该 地 址 现在 已 经 不 是 R1 的 任何 接口 的 地 址 ， 也 可 以 修改 成 为 Router-ID (删除 该 环 
回 接口 也 不 会 触发 重新 选举 ， 验 证 省 略 )。 

区 JJRouter-ID 1.1.1.1 

配置 完成 后 ， 马 上 会 弹出 以 下 信息 : 

Info: Router-ID has been modified, please reset the relative protocols manually to update the Router-ID. 

该 信息 表示 Router-ID 已 经 被 修改 ， 请 重启 相应 的 路 由 协议 进行 更 新 。 即 当前 全 局 
配置 的 Router-ID 已 经 被 更 新 ， 如 果 目 前 设备 上 已 经 运行 了 OSPF 协议 ， 需 要 重 置 OSPF 
协议 进程 或 者 重启 整 台 路 由 器 才 可 以 使 得 OSPF 协议 中 的 Router-ID 也 同步 更 新 使 用 该 新 
的 全 局 Router-ID 。 需 要 使 用 reset ospf process 命令 来 重 置 OSPF 协议 进程 。 

2. 基本 配置 

根据 实验 编 址 表 进 行 完成 剩余 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连 
通 性 o 

<R1>ping 10.0.1.1 

PING 10.0.1.1; 56 data bytes, press CTRL C to break 
Reply from 10.0.1.1: bytes=56 Sequence=l ttl=128 time=170 ms 
Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=128 time=70 ms 
Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=128 time=30 ms 
Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=128 time=30 ms 
Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=128 time=10 ms 
-一 10.0.1.1 ping statistics ~-- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/62/170 ms 

其 余 直 连 网 段 的 连通 性 测试 省 略 。 

3. 理解 OSPF 的 Router-ID 

在 所 有 路 由 器 上 配置 OSPF 协议 ， 并 都 运行 在 区 域 0 内 。 使 用 ospf router-id 命令 来 
配置 OSPF 协议 的 私有 Router-ID， 如 果 不 配 置 ， 则 默认 使 用 全 局 下 的 Router-ID。 

注意 区 分 设备 全 局 下 的 Router-ID 和 路 由 协议 的 Router-ID 的 概念 。 如 果 在 路 由 协议 
中 没有 配置 Router-ID， 就 会 默认 使 用 路 由 器 的 全 局 Router-ID。 如 果 配 置 ， 则 可 以 和 全 
局 Router-ID 不 一 致 。 

一 般 建议 采用 环 回 接口 地 址 作为 路 由 协议 的 Router-ID， 因 为 环 回 接口 是 逻辑 接口 ， 
比 物理 接口 更 加 稳定 。 在 对 网 络 操作 时 ， 网 络 管理 员 有 可 能 误 操 作 导 致 物理 接口 地 址 删 
除 ， 或 者 改动 ， 而 环 回 接口 则 一 般 不 会 去 改动 。 

[Ril]ospf 1 router-id 1.1.1.1 

[Rl-ospf-l]area 0 

[Rl1-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255 

[Rl1-ospf-1-area-0.0.0.0Jnetwork 10.0.1.0 0.0.0.255 


[R2]0spf 1 router-id 2.2.2.2 

[R2-ospf-l]area0 
[R2-0spf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255 
[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 
[R2-0spf-1-area-0.0.0.0Inetwork 10.0.24.0 0.0.0.255 
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[R3]ospf 1 router-id 3.3.3.3 

[R3-0spf-llarea 0 

[R3-ospf-1-area-0.0.0.0Inetwork 10.0.23.0 0.0.0.255 
[R3-0spf-1-area-0.0.0.0Inetwork 10.0.2.0 0.0.0.255 


[R4]ospf 1 router-id 4.4.4.4 
[R4-ospf-llarea 0 
[R4-ospf-1-area-0.0.0.0]network 10.0.24.0 0.0.0.255 
[R4-0spf-1-area-0.0.0.0]network 10.0.3.0 0.0.0.255 
配置 完成 后 测试 PC-1 和 PC-2 间 的 连通 性 。 
PC>ping 10.0.2.1 
Ping 10.0.2.1: 32 data bytes, Press Ctrl C to break 
From 10.0.2.1: bytes=32 seq=] ttl=124 time=31 ms 
From 10.0.2.1: bytes=32 seq=2 ttl=124 time=47 ms 
From 10.0.2.1: bytes=32 seq=3 ttl=124 time=31 ms 
From 10.0.2.1; bytes=32 seq=4 ttl=124 time=32 ms 
From 10.0.2.1: bytes=32 seq=5 ttl=124 time=31 ms 
-一 10.0.2.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 31/34/47 ms 


可 以 观察 到 ， 目 前 通信 和 正常， 其余 PC 间 连 通 性 测试 省 略 。 
现在 修改 R2 的 Router-ID 为 3.3.3.3， 即 R3 的 Router-ID， 使 R3 和 R2 的 Router-ID 
重合 ， 并 重 置 协议 进程 使 该 配置 生效 。 


<R2>ospf 1 router-id 3.3.3.3 
<R2>reset ospf process 
Warning: The OSPF process will be reset. Continue? [Y/N]:y 
待 协 议 收敛 后 ， 再 次 查看 R2 的 OSPF 邻居 信息 。 
<R2>display ospf peer 
OSPF Process 1 with Router-ID 3.3.3.3 
Neighbors 
Area 0.0.0.0 interface 10.0.12.2(GigabitEthernet0/0/0)'s neighbors 

Router-ID: 1.1.1.1 Address: 10.0:12.1 

State: Full Mode:Nbris Slave Priority: 1 

DR: 10.0.12.1 BDR: 10.0.12.2 MTU:0 

Dead timer due in 40 sec 

Retrans timer interval: $5 

Neighbor is up for 00:01:36 

Authentication Sequence; [0 ] 


Neighbors 
Area 0.0.0.0 interface 10.0.24,2(GigabitEthernet0/0/2)'s neighbors 
Router ID: 4.4.4.4 Address: 10.0.24.4 


State: Full Mode:Nbris Master Priority: 1 

DR: 10.0.24.4 BDR:10.0.24.2 MTU:0 

Dead timer due in 40 sec 

Retrans timer interval: 5 

Neighbor is up for 00:00:40 
Authentication Sequence: [ 0 ] 
可 以 观察 到 到 R2 与 R3 的 邻居 关系 消失 。 
测试 PC-1 与 PC-2 的 连通 性 。 


PC>ping 10.0.2.1 
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Ping 10.0.2.1: 32 data bytes, Press Ctrl C to break 
Requesttimeoutl 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 
--- 10.0.2.1 ping statistics --- 
5 packet(s) transmitted 
0 packet(s) received 
100.00% packet loss 


网 络 已 经 发 生 故障 ， 无 法 正常 通信 。 验 证 了 OSPF 建立 直 连 邻居 关系 时 ，Router-ID 
一 定 不 能 重合 。 那 么 如 果 OSPF 非 直 连 邻居 的 Router-ID 重合 会 产生 什么 现象 ? 
还 原 R2 之 前 的 配置 ， 调 整 R4 的 Router-ID 为 3.3.3.3， 与 R3 重 辣 。 


<R2>ospf 1 router-id 2.2.2.2 
<R2>reset ospf process 
Warning: The OSPF process will be reset. Continue? [Y/N]:y 


<R4>ospf 1 router-id 3.3.3.3 
<R4>reset ospf process 
Warning: The OSPF process will be reset. Continue? [Y/N]:y 


配置 完成 后 ， 查 看 R2 的 OSPF 邻居 状态 。 
<R2>display ospf peer brief 
OSPF Process 1 with Router-ID 2.2.2.2 
Peer Statistic Information 


Area Id Interface Neighbor id State 
0.0.0.0 GigabitEthernet0/0/0 le1alal Full 
0.0.0.0 GigabitEBthernet0/0/1 3.3.3.3 Full 
0.0.0.0 GigabitEthernet0/0/2 333 Full 


发 现 R2 有 两 个 3.3.3.3 的 邻居 ， 查 看 R2 的 路 由 表 。 


<R2>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 


Destinations : 2 Routes :2 
OSPF routing table status : <Active> 
Destinations : 2 Routes :2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.1.0/24 OSPE 0 2 D 10.0.12.1 GigabitEthernet0/0/0 
10.0.3.0/24 OSPF 1002 D 10.0.24.4 GigabitEthernet0/0/2 
OSPF routing table status : <Inactive> 

Destinations : 0 Routes :0 


可 以 观察 到 ， 此 时 R2 没有 接收 到 R3 上 10.0.2.0/24 网 段 的 路 由 条 目 ， 即 使 路 由 器 邻 
居 关 系 建立 正常 ， 但 也 无 法 正常 获取 路 由 条 目 。 

测试 PC-1 与 PC-2 间 的 连通 性 。 

PC>ping 10.0.2.1 

Ping 10.0.2.1: 32 data bytes, Press Ctrl_C to break 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 
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Request timeout! 


通信 无 法 正常 进行 。 这 是 因为 R2 认为 是 同一 个 OSPF 邻居 ， 但 是 LSA 又 不 一 致 ， 
造成 链 路 状态 数据 库 发 送 错误 ， 无 法 计算 出 正确 的 路 由 信息 。 
综 上 所 述 ，OSPF 协议 的 Router-ID 务必 要 在 整个 路 由 选择 域内 保持 唯一 。 


思考 
试问 如 果 不 同 区 域 中 的 OSPF 路 由 器 的 Router-ID 重 炙 又 会 导致 什么 问题 的 产生 ? 


8.6 ”OSPF 的 DR 与 BDR 


原理 概述 


在 OSPF 的 广播 类 型 网 络 和 NBMA 类 型 网 络 中 ,如 果 网 络 中 有 nn 台 路 由 器 , 若 任 意 
两 台 路 由 器 之 间 都 要 建立 邻接 关系 ， 则 需要 建立 nx(n-1)/2 个 邻接 关系 ， 即 当 路 由 器 很 
多 时 ， 则 需要 建立 和 维护 的 邻接 关系 就 很 多 ， 两 两 之 间 需 要 发 送 的 报 文 也 就 很 多 ， 这 会 
造成 很 多 内 容重 复 的 报 文 在 网 络 中 传递 浪费 了 设备 的 带宽 资源 。 因 此 在 广播 和 NBMA 
类 型 网 络 中 ，OSPF 协议 定义 了 指定 路 由 器 DR (Designated Router)， 即 所 有 其 他 路 由 器 
都 只 将 各 自 的 链 路 状态 信息 发 送 给 DR， 再 由 DR 以 组 播 方式 发 送 至 所 有 路 由 器 ， 大 大 
减少 了 OSPF 数据 包 的 发 送 。 

但 是 如 果 DR 由 于 某 种 故障 而 失效 ， 此 时 网 络 中 必须 重新 选举 DR， 并 同步 链 路 状 
态 信息 , 这 需要 较 长 的 时 间 。 为 了 能 够 缩短 这 个 过 程 ，OSPF 协议 又 定义 了 BDR (Backup 
Designated Router) 的 概念 ， 作 为 DR 路 由 器 的 备份 ， 当 DR 路 由 器 失效 时 ，BDR 成 为 
DR， 并 再 选择 新 的 BDR 路 由 器 。 其 他 非 DR/BDR 路 由 器 都 称 为 DR Other 路 由 器 。 

每 一 个 含有 至 少 两 个 路 由 器 的 广播 类 型 网 络 或 NBMA 类 型 网 络 都 会 选举 一 个 DR 和 
BDR。 选 举 规则 是 首先 比较 DR 优先 级 ， 优 先 级 高 者 成 为 DR， 次 高 的 成 为 BDR。 如 果 
优先 级 相等 ， 则 Router-ID 数值 高 的 成 为 DR， 次 高 的 成 为 BDR。 如 果 一 台 路 由 器 的 DR 
优先 级 为 0， 则 不 参与 选举 。 需 要 注意 的 是 ，DR 是 在 某 个 广播 或 者 NBMA 网 段 内 进行 
选举 的 ， 是 针对 路 由 器 的 接口 而 言 的 。 某 台 路 由 器 在 一 个 接口 上 可 能 是 DR， 在 另 一 个 
接口 上 有 可 能 是 BDR， 或 者 是 DR Other。 

若 DR、BDR 已 经 选举 完毕 ， 人 为 修改 任何 一 台 路 由 器 的 DR 优先 级 值 为 最 大 ， 也 
不 会 抢占 成 为 新 的 DR 或 BDR， 即 OSPF 的 DR/BDR 选举 是 非 抢占 的 。 


实验 目的 
。 理解 OSPF 在 哪 种 网 络 类 型 中 会 选举 DR/BDR 
。 掌握 OSPF DR/BDR 的 选举 规则 


。 掌握 如 何 更 改 设备 接口 上 的 DR 优先 级 
e 理解 OSPF DR/BDR 选举 的 非 抢 占 特 性 
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实验 内 容 


某 公 司 有 4 个 部 门 , 路 由 器 R1 连接 到 总 经 理 办 公 室 ， 路 由 器 R2 连接 到 人 事 部 ，R3 
连接 到 开发 部 ，R4 连接 到 市 场 部 。4 台 路 由 器 通过 交换 机 S1 互联 ， 每 台 路 由 器 都 运行 
了 OSPF 路 由 协议 ， 都 运行 在 区 域 0 内 ， 使 得 公司 内 部 各 部 门 网 络 能 够 互相 通信 。 由 于 
路 由 器 通过 广播 网 络 互 连 ，OSPF 会 选举 DR 和 BDR， 现 网 络 管理 员 要 配置 使 得 性 能 较 
好 的 Rl 成 为 DR, 性 能 次 之 的 R2 成 为 BDR, 而 性 能 最 差 的 R4 不 能 参加 DR 和 BDR 的 
选举 ， 由 此 来 完成 网 络 的 优化 。 


实验 拓扑 
本 实验 的 拓扑 如 图 8-8 所 示 。 





GE 0/0/0 
Ethernet 0/0/2 
电 旭 GE 0/0/0 ms Ethernet 0/0/1 
Ethernet 0/0/3 | GE 0/0/0 | 
] 179161 


R3 RI 
开发 部 








图 8-8 理解 OSPF 的 DR 与 BDR 拓扑 


实验 编 址 


实验 编 址 见 表 8-6。 
表 8-6 实验 编 址 


设备 IP 地 址 子 网 掩 码 默认 网 关 

GE 0/0/0 172.16.1.1 255.255.255.0 N/A 

ARAN Loopback0 | 1.lll | 255.255.255.255 N/A 
a GE 0/0/0 VERLRE 255.255.255.0 N/A 
Loopback 0 2322 255.255.255.255 N/A 

GE 0/0/0 172.16.1.3 255.255.255.0 N/A 

0 
Ne a0 Loopback 0 3.3.3.3 255.255.255255 N/A 
GE 0/0/0 172.16.1.4 255.255.255.0 N/A 
a | 

Pe Loopback 0 4.4.4.4 255.255.255.255 N/A 
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实验 步骤 

1. 基本 配置 

根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。 


<RI>ping 172.16.1.4 

PING 172.16.1.4: 56 data bytes, press CTRL C to break 
Reply from 172.16.1.4: bytes=56 Sequence=] ttl=255 time=100 ms 
Reply from 172.16.1.4: bytes=56 Sequence=2 ttl=255 time=70 ms 
Reply from 172.16.1.4: bytes=56 Sequence=3 ttl=255 time=70 ms 
Reply from 172.16.1.4: bytes=56 Sequence=4 ttl=255 time=30 ms 
Reply from 172.16.1.4: bytes=56 Sequence=5 ttl=255 time=50 ms 

-- 172.16.1.4 ping statistics --- 
S packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 30/64/100 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2. 搭建 基本 的 OSPF 网 络 

在 公司 网 络 中 的 4 台 路 由 器 R1、R2、R3、R4 上 配置 基础 的 OSPF 网 络 配置 。 每 台 
路 由 器 使 用 各 自 的 环 回 接口 地 址 作为 Router-ID， 并 且 都 运行 在 区 域 0 内 。 


[RIllrouterid 1.1.1.1 

[R1]ospf 1 

[Rl-ospf-1]area 0 

[Ri-osp 人 1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 


[R2]router id 2.2.2.2 

[R2]ospf 1 

[R2-ospf-1]Jarea 0 

[R2-0spf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 


[R3]router id 3.3.3.3 

[R3]ospf 1 

[R3-0spf-llarea 0 

[R3-0spf-1-area-0.0.0.0Jnetwork 172.16.1.0 0.0.0.255 


区 4jrouter id 4.4.4.4 

区 4]ospf1 

[R4-0spf-lJarea 0 

[R4-0spf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 


配置 完成 后 ， 同 时 重启 4 台 路 由 器 上 的 OSPF 进程 ， 或 者 直接 同时 重启 设备 。 


<RT>reset ospf process 
<R2>Treset ospf process 
<R3>reset ospf process 


<R4>reset ospf process 


重 置 后 再 次 检查 OSPF 邻居 建立 情况 ， 使 用 display ospf peer brief 命令 进行 查看 。 


<R1>dsplay ospf peer brief 
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OSPEF Process 1 with Router-ID 1.1.1.1 
Peer Statistic Information 


Area Id Interface Neighbor id State 

0.0.0.0 GigabitEthernet0/0/0 2.2.2.2 Full 

0.0.0.0 GigabitEthernet0/0/0 3.3.3.3 Full 

0.0.0.0 GigabitEthernet0/0/0 4.4.4.4 Full 

可 以 观察 到 ，R1 此 时 已 经 和 其 他 路 由 器 成 功 建立 起 OSPF 邻居 关系 。 其 他 设备 上 的 
查看 过 程 省 略 。 


3. 查看 默认 情况 下 的 DR/BDR 状态 
使 用 display ospf peer 命令 查看 此 时 默认 情况 下 OSPF 网 络 中 的 DR/BDR 选举 情况 。 
区 1jdisplay ospf peer 

OSPEF Process 1 with Router-ID 1.1.1.1 

Neighbors 

Area 0.0.0.0 interface 172.16.1.1(GigabitEthernet0/0/0)'s neighbors 
Router-ID: 2.2.2.2 Address: 172.16.1,2 
State: 2-Way Mode:Nbris Master Priority: 1 
DR: 172.16.1.4 BDR: 172.16.1.3 MTU:0 
Deadtimer duein35 5s 
Retrans timer interval: 0 
Neighbor is up for 00:00:00 
Authentication Sequence: [0 ] 
Router-ID; 3.3.3.3 Address: 172.16.1.3 
State: Full Mode:Nbris Master Priority: 1 
DR: 172.16.1.4 BDR: 172.16.1.3 MTU:0 
Deadtimer due in34 $s 
Retrans timer interval: 5 
Neighbor is up for 00:00:48 
Authentication Sequence: [ 0] 
Router-ID: 4.4.4.4 Address: 172.16.1.4 
State: Full Mode:Nbris Master Priority: 1 
DR:172.16.1.4 BDR:172.16.1.3 MTU:0 
Deadtimer due in34 S 
Retrans timer interval: 0 
Neighbor is up for 00:00:46 
Authentication Sequence: [0 1] 


可 以 观察 到 在 该 广播 网 络 中 ， 此 时 R4 为 OSPF 网 络 中 的 DR，R3 为 BDR。 这 是 由 
于 在 默认 情况 下 ,每 台 路 由 器 上 的 DR 优先 级 都 为 1， 此 时 是 通过 Router-ID 的 数值 高 低 
进行 比较 的 。 

接 下 来 在 每 台 设 备 上 的 相关 接口 下 使 用 ospf network-type p2mp 命令 修改 OSPF 的 
网 络 类 型 为 点 到 多 点 。 


[Rilinterface GigabitEthernet 0/0/0 
[R1-GigabitEthernet0/0/0]ospf network-type p2mp 


[R2]interface GigabitEthernet 0/0/0 
[R2-GigabitEtheret0/0/0]ospfmetwork-type p2mp 


[R3]interface GigabitEthernet 0/0/0 
[R3-GigabitEthernet0/0/0]ospf network-type p2mp 
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[Rd4]interface GigabitEthernet 0/0/0 
[R4-GigabitEthernet0/0/0]ospf network-type p2mp 
配置 完成 后 ， 在 R1 上 再 次 观察 此 时 OSPF 的 DR/BDR 选举 情况 。 
[Rlldisplay ospf peer 
OSPF Process 1 with Router-ID 1.1.1.1 
Neighbors 
Area 0.0.0.0 interface 172.16.1.1(GigabitEthernet0/0/0)'s neighbors 
Router-ID: 2.2.2.2 Address: 172.16.1.2 
State: Full Mode:Nbris Master Priority: 1 
DR:None BDR:None MTU:0 
Dead timer due in 109 sec 
Retrans timer interval: 0 
Neighbor is up for 00:01:16 
Authentication Sequence: [0 ] 
Router-ID: 3.3.3.3 Address: 172.16.1.3 
State: Full Mode:Nbris Master Priority: 1 
DR:None BDR:None MTU:0 
Dead timer due in 103 sec 
Retrans timer interval: 0 
Neighbor is up for 00:01:02 
Authentication Sequence: [ 0 ] 
Router-ID: 4.4.4.4 Address: 172.16.1.4 
State: Full Mode:Nbris Master Priority: 1 
DR: None BDR:None MTU:0 
Dead timer due in 113 sec 
Retrans timer interval: 0 
Neighbor is up for 00:00:57 
Authentication Sequence: [ 0] 


可 以 观察 到 , DR/BDR 都 为 None, 验证 了 在 点 到 多 点 的 网 络 类 型 中 不 选举 DR/BDR,， 
同样 在 点 到 点 网 络 中 也 是 ， 这 里 不 再 歼 述 。 

4. 根据 现 网 需求 影响 DR/BDR 选举 

现在 根据 需求 ， 网 络 管理 员 要 使 得 性 能 较 好 、 处 理 能 力 较 强 的 R1 成 为 DR， 性 能 次 之 
的 R2 成 为 BDR， 而 性 能 最 差 的 R4 不 能 参加 DR 和 BDR 的 选举 ， 由 此 来 完成 网 络 的 优化 。 

首先 将 OSPF 网 络 类 型 还 原 为 默认 的 广播 网 络 类 型 。 


[Rllinterface GigabitEthernet 0/0/0 
[Ri-GigabitEthernet0/0/0]ospf network-type broadcast 


[R2]interface GigabitEthernet 0/0/0 
[R2-GigabitEthernet0/0/0]ospf network-type broadcast 


[R3]interface GigabitEthernet 0/0/0 
[R3-GigabitEthernet0/0/0]ospf network-type broadcast 


[R4jinterface GigabitEthernet 0/0/0 
[R4-GigabitEthernet0/0/0]ospf network-type broadcast 


配置 完成 后 ,修改 R1 上 GE 0/0/0 接口 的 DR 优先 级 为 100、R2 为 50、R4 为 0、R3 
保持 默认 不 变 。 

[Rl]jinterface GigabitEthernet 0/0/0 

[RI-GigabitEthernet0/0/0]Jospf dr-priority 100 


[R2]interface GigabitEthernet 0/0/0 
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[R2-GigabitEthernet0/0/0]ospf dr-priority 50 


[R4]interface GigabitEthernet 0/0/0 
[R4-GigabitEthernet0/0/0]ospf dr-priority 0 
配置 完成 后 ， 查 看 各 路 由 器 的 DR/BDR 选举 情况 。 
区 1]display ospf peer 

OSPF Process 1 with Router-ID 1.1.1.1 

Neighbors 

Area 0.0.0.0 interface 172.16.1.1(GigabitEthernet0/0/0)'s neighbors 
Router-ID: 2.2.2.2 Address: 172.16.1.2 
State: 2-Way Mode:Nbris Master Priority: 1 
DR: 172.16.1.4 BDR:172.16.1.3 MTU:0 
Deadtimer due in35 $s 
Retrans timer interval: 0 
Neighbor is up for 00:00:00 
Authentication Sequence: [0 ] 
Router-ID: 3.3.3.3 Address: 172.16.1.3 
State: Full Mode:Nbris Master Priority: 1 
DR: 172.16.1.4 BDR: 172.16.1.3 MTU:0 
Deadtimer due in34 S 
Retrans timer interval: 5 
Neighbor is up for 00:00:48 
Authentication Sequence: [0] 
Router-ID: 4.4.4.4 Address: 172.16.1.4 
State: Full Mode:Nbris Master Priority: 1 
DR: 172.16.1.4 BDR:172.16.1.3 MTU:0 
Deadtimerdue in34 $s 
Retrans timer interval: 0 
Neighbor is up for 00:00:46 
Authentication Sequence: [0] 


发 现 此 时 的 DR 与 BDR 都 没有 改变 ， 即 验证 了 OSPF 的 DR/BDR 选举 是 非 抢占 的 。 
必须 要 在 4 台 路 由 器 上 同时 重启 OSPF 进程 , 或 者 重启 路 由 器 才能 使 得 其 重新 正确 选举 。 

同时 重启 4 台 路 由 器 的 OSPF 进程 ， 或 直接 同时 重启 设备 。 

重 置 后 再 次 查看 各 路 由 器 的 DR/BDR 选举 状态 。 


<Rl>display ospf peer 
OSPF Process 1 with Router-ID 1.1.1.1 
Neighbors 

Area 0.0.0.0 interface 172.16,1.1(GigabitEthernet0/0/0)'s neighbors 
Router-ID: 2.2.2.2 Address: 172.16.1.2 
State: Full Mode:Nbris Master Priority: 50 
DR: 172.16.1.1 BDR: 172.16.1.2 MTU:0 
Deadtimerdue in28 S 
Retrans timer interval: $ 
Neighbor is up for 00:00:19 
Authentication Sequence: [0 ] 
Router-ID: 3.3.3,3 Address: 172.16.1.3 
State: Full Mode:Nbris Master Priority: 1 
DR: 172.16.1.1 BDR:172.16.1.2 MTU:0 

~ Deadtimerdue in32 S 
Retrans timer interval: 5 
Neighbor is up for 00:00:04 
Authentication Sequence: [ 0] 
Router-ID: 4.4.4.4 Address: 172.16.1.4 
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State: Full Mode:Nbris Master Priority:0 
DR: 172.16.1.1 BDR:172.16.1.2 MTU:0 
Dead timer due in29 $s 

Retrans timer interval: 5 

Neighbor is up for 00:00:28 

Authentication Sequence: [0] 


此 时 发 现在 该 广播 网 络 中 ，R1 为 DR，R2 为 BDR， 实 现 了 网 络 的 需求 。 
思考 


在 本 实验 步骤 2 中 ， 基 础 的 OSPF 网 络 配置 完毕 后 ， 为 什么 要 同时 重启 4 台 路 由 器 
上 的 OSPF 进程 ? 


8.7 ”OSPF 开销 值 、 协 议 优先 级 及 计时 器 的 修改 


原理 概述 


由 于 路 由 器 上 可 能 同时 运行 多 种 动态 路 由 协议 ， 就 存在 各 个 路 由 协议 之 间 路 由 信息 
共享 和 选择 的 问题 。 系 统 为 每 一 种 路 由 协议 设置 了 不 同 的 默认 优先 级 ， 当 在 不 同 协议 中 
发 现 同 一 条 路 由 时 ， 协 议 优先 级 高 的 将 被 优选 。 

如 果 没 有 直接 配置 OSPF 接口 的 开销 值 ，OSPF 会 根据 该 接口 的 带宽 自动 计算 其 开 
销 值 。 计 算 公 式 为 :接口 开销 = 带宽 参考 值 /接口 带宽 ， 取 计算 结果 的 整数 部 分 作为 接口 
开销 值 〈 当 结果 小 于 1 时 取 1)。 通 过 改变 带宽 参考 值 可 以 间接 改变 接口 的 开销 值 。 

OSPF 常见 的 计时 器 包括 Hello timer 和 Dead timer, 分 别 决定 了 OSPF 发 送 Hello 报 
文 的 间隔 和 保持 邻居 关系 的 计时 器 。 默 认 情 况 下 ，P2P、Broadcast 类 型 接口 发 送 Hello 
报 文 的 时 间 间 隔 为 10s， 领 居 失 效 时 间 为 40s; P2MP、NBMA 类 型 接口 发 送 Hello 报 文 
的 时 间 间 隔 为 30s; 邻居 失效 时 间 为 120s。 


实验 目的 


e 掌握 配置 OSPF 协议 优先 级 的 方法 
。 掌握 配置 OSPF 开销 的 方法 

e 掌握 配置 OSPF Hello timer 的 方法 
。 掌握 配置 OSPF Dead timer 的 方法 


实验 内 容 


本 实验 模拟 企业 两 个 分 支 机 构 之 间 通 过 两 条 路 径 实 现 互 联 互 通 。R1 为 分 支 机 构 A 
的 网 关 设 备 ，R4 为 分 支 机 构 B 的 网 关 设 备 。 公 司 原 网 络 为 分 支 A 与 分 支 B 通过 R2 进 
行 通信 ， 设 备 之 间 运 行 的 是 OSPF 协议 ， 都 属于 区 域 0。 后 因 带 宽 需 要 增 大 ， 两 机 构 之 
间 决 定 新 增 一 条 带宽 更 大 路 径 ， 通 过 R3 相连 ， 运 行 RIP 协议 ， 并 设置 为 主 用 路 径 ， 以 
前 的 链 路 为 备用 路 径 。 当 后 期 R3 设备 升级 之 后 ， 可 支持 OSPF 时 需要 将 网 络 割 接 到 OSPF 
协议 以 便于 管理 。 
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实验 拓扑 
OSPF 开销 值 、 协 议 优 先 级 及 计时 器 的 修改 拓扑 如 图 8-9 所 示 。 
分 支 机 构 B 
PC-2 
Ethernet 0/0/] 
Serial 40/1 ,Ry “Serial #0/0 
OO 一 、、、 蜂 GE 0/0/1 
PC-1 RI 2 A 





pa » 
.7 Serial 4/0/0 Serial 4/0/0、、 
ee ge GE 0/0/1 


~ 





Ethernet 0/0/1 
ee GE 0/0/0 





图 8-9 ”OSPF 开销 值 、 协 议 优先 级 计时 器 的 修改 拓扑 


实验 编 址 


实验 编 址 见 表 8-7。 
表 8-7 实验 编 址 


设备 IP 地 址 子 网 掩 码 默认 网 关 

PC-1 Ethernet 0/0/1 | 100.1.1 | 255.255.255.0 10.0.1.254 

PC-2 Ethernet 0/0/1 10.0.2.1 255.255.255.0 10.0.2.254 
GE 0/0/0 10.0.1.254 255.255.255.0 N/A 
R1 (AR2220) GE 0/0/1 10.0.13.1 255.255.255.0 N/A 
Serial 4/0/0 10.0.12.1 255.255.255.0 N/A 
Serial 4/0/0 10.0.24.2 255.255.255.0 N/A 
A Serial 4/0/1 10.0.12.2 255.255.255.0 N/A 
GE 0/0/0 10.0.13.3 255.255.255.0 N/A 
i GE 0/0/1 10.0.34.3 255.255.255.0 N/A 
GE 0/0/0 10.0.34.4 255.255.255.0 N/A 
R4 (AR2220) GE 0/0/1 10.0.45.4 255.255.255.0 N/A 
Serial 4/0/0 10.0.24.4 255.255.255.0 N/A 
GE 0/0/0 10.0.45.5 255.255.255.0 N/A 
ee GE 0/0/1 10.0.2.254 255.255.255.0 N/A 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
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<R1>ping 10.0.12.2 


PING 10.0.12.2: 56 data bytes, press CTRL C to break 
Reply from 10.0.12.2: bytes=56 Sequence=] ttl=255 time=50 ms 
Reply from 10.0.12.2: bytes=56 Sequence=2 ttl=255 time=40 ms 
Reply from 10.0.12.2: bytes=56 Sequence=3 ttl=255 time=20 ms 
Reply from 10.0.12.2: bytes=56 Sequence=4 ttl=255 time=10 ms 
Reply from 10.0.12.2: bytes=56 Sequence=5 ttl=255 time=40 ms 


—- 10.0.12.2 ping statistics ~-- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/32/50 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2.， 配置 协议 优先 级 


部 署 OSPF 网 络 ， 实 现 分 支 A 和 分 支 B 之 间 通 过 R2 实现 通信 。 
在 路 由 器 R1、R2、R4 上 部 署 OSPF 网 络 ， 通 告 相 关 网 段 属于 区 域 0。 


[Rllospf 1 

[R1-ospf-ljarea0 

[R1-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255 
[Rl-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255 


[R2jospf 1 

[R2-0spf-1larea 0 

[R2-0spf-1-area-0.0.0.0lnetwork 10.0.12.0 0.0.0.255 
[R2-0spf-1-area-0.0.0.0]network 10.0.24.0 0.0.0.255 


[R4]ospf 1 

[R4-ospf-1]area 0 

[R4-osp 人 1-area-0.0.0.0]network 10.0.24.0 0.0.0.255 
[R4-0spf-1-area-0.0.0.0]network 10.0.45.0 0.0.0.255 


[RS]ospf 1 

[R5-ospf-1]area 0 

[R5-osp 信 1-area-0.0.0.0jnetwork 10.0.45.0 0.0.0.255 
[R35-0spf-1-area-0.0.0.0Inetwork 10.0.2.0 0.0.0.255 


部 垩 完成 后 ， 测 试 两 分 支 间 PC-1 与 PC-2 间 的 连通 性 。 


PC>ping 10.0.2.1 
Ping 10.0.2.1; 32 data bytes， Press Ctrl_C to break 
From 10.0.2.1: bytes=32 seq=] ttl=124 time=47 ms 
From 10.0.2.1: bytes=32 seq=2 ttl=]124 time=31 ms 
From 10.0.2.1: bytes=32 seq=3 ttl=124 time=47 ms 
From 10.0.2.1: bytes=32 seq=4 ttl=124 time=31 ms 
From 10.0.2.1: bytes=32 seq=5 ttl=124 time=47 ms 
-一 10.0.2.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 31/40/47 ms 


通信 正常 ， 即 目前 通过 R2 的 线路 正常 。 


| 





现 网 络 管理 员 开 始 实施 网 络 升级 方案 ， 部 署 使 用 经 过 R3 的 线路 ， 运 行 RIP 协议 。 


[RIJrip 1 
[Rl-rip-l Jjversion 2 
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[Rl-rip-llundo summary 
区 1-rip-1jnetwork 10.0.0.0 


[R3]rip 1 
[R3-rip-l]version 2 
[R3-rip-ljundo summary 
[R3-rip-l]network 10.0.0.0 


[Rd4]jrip 1 
[R4-rip-1]version 2 
[R4-rip-1jundo summary 
[R4-rip-1]network 10.0.0.0 


[RS]rip 1 
[RS5-rip-l]version 2 


[R5-rip-l]jundo summary 
RS-rip-1jnetwork 10.0.0.0 


配置 完成 后 ， 在 分 支 A 的 网 关 设 备 R1 上 查看 路 由 表 中 关于 分 支 B 网 段 的 10.0.2.0 
的 条 目 。 


区 1]display ip routing-table 10.0.2.0 
Route Flags: R-relay, D - download to fib 


Routing Table : Public 
Summary Count :1 “ 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.2.0/24 OSPE 10 98 D 10.0.12.2 Serial4/0/0 


发 现 分 支 B 网 段 的 路 由 条 目 现在 仍然 通过 OSPF 协议 获得 ， 即 两 分 支 间 的 数据 仍然 
通过 R2 转发 。 新 接 入 的 R3， 带 宽 更 大 的 路 径 没 有 参与 数据 转发 ， 升 级 不 成 功 。 可 以 使 
用 tracert 命令 在 设备 和 PC 上 进行 验证 ， 此 处 省 略 。 

导致 不 成 功 的 原因 是 该 路 由 条 目 可 以 同时 从 OSPF 协议 和 RIP 协议 获得 ， 当 同一 路 
由 条 目 可 以 通过 不 同 的 路 由 协议 获得 时 ， 首 先 比较 两 协议 的 优先 级 ， 路 由 器 将 优选 优先 
级 高 的 路 由 协议 。OSPF 的 默认 协议 优先 级 为 10， 而 RIP 为 100， 优 先 级 值 越 低 表示 优 
先 级 越 高 ， 故 而 选择 了 从 OSPF 协议 获得 的 路 由 条 目 。 

但 是 根据 实际 需求 ， 经 过 R2 使 用 的 OSPF 线路 是 广域网 线路 ， 带 宽 很 低 ， 而 经 过 
R3 使 用 的 RIP 线路 是 以 太 网 线路 ， 带 宽 高 ， 所 以 现在 一 定 要 选择 RIP 条 目 进行 转发 。 
通过 修改 OSPF 协议 优先 级 即 可 。 

在 R11、R4、R5 的 进程 下 使 用 preference 命令 修改 OSPF 协议 优先 级 的 值 为 110， 
大 于 RIP 的 100。 

[Rl]jospf I 

[R1-osp 人 1]preference 110 


[R4]ospf 1 
[R4-0spf-1]preference 110 


[RS5]ospf 1 
[R5-ospf-llpreference 110 


配置 完成 后 ， 在 分 支 A 的 网 关 设 备 R1 上 查看 路 由 表 中 关于 分 支 B 网 段 的 10.0.2.0 
的 条 目 。 
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<Rl>display ip routing-table 10.0.2.0 
Route Flags: R-relay, D -downloadto fib 


Routing Table : Public 


Summary Count : 1 
Destination/Mask ee. Pre i Flags NextHop Interface 
10.0.2.0/24 100 D 10.0.13.3 GigabitEthernet0/0/1 


可 以 观察 到 ， 现在 已 经 使 用 经 过 R3 的 线路 。 
在 分 支 B 的 网 关 设 备 R4 上 查看 路 由 表 中 关于 分 支 A 网 段 的 10.0.1.0 的 条 目 。 


<R4>display ip routing-table 10.0.1.1 
Route Flags: R -relay, D - download to fb 


Routing Table : Public 

Summary Count : 1 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.0.1.0/24 100 2 D 10.0.34.3 GigabitEthernet0/0/0 


R4 也 采用 经 过 了 的 线路 ， 往 返 路 径 一 致 。 可 以 进一步 使 用 tracert 命令 测试 ， 这 
里 省 略 。 

3. 配置 OSPF 开销 值 

由 于 网 络 中 运行 不 同 路 由 协议 将 会 导致 管理 不 便 ， 现 需要 更 改 R3 的 配置 ， 使 其 运 
行 OSPF 协议 。 

在 网 络 调整 过 程 中 最 重要 的 就 是 尽量 确保 能 够 使 其 对 用 户 通信 所 造成 的 影响 程度 降 
至 最 小 ， 并 且 一 般 选 择 在 用 户 网 络 使 用 率 较 少 的 深夜 进行 。 经 过 对 网 络 的 分 析 后 发 现 ， 
在 R3 上 直接 部 署 OSPF 协议 属于 区 域 0 中 ， 即 和 R2 一 样 都 运行 OSPF 协议 ， 那 么 在 相 
同 OSPF 协议 下 ， 路 由 的 选择 首先 比较 链 路 的 开销 值 ， 而 经 过 R2 的 线路 为 广域网 链 路 ， 
开销 值 明显 高 于 经 过 R3 的 以 太 网 链 路 ， 即 仍然 维持 通过 R3 来 转发 公司 两 支 间 的 流量 ， 
风险 较 小 。 故 网 络 管理 员 将 直接 在 经 过 R3 的 线路 上 部 署 OSPF 协议 。 

在 R1、R3、R4 上 配置 OSPF 协议 ， 通 告 相 关 网 段 。 


[R3]ospf 1 

[R3-osp 人 ljarea0 

3-osp 他 1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 
[R3-osp 他 1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 


[Ril]ospf 1 
[Rl-ospf-l]Jarea 0 
[RI1-ospf-1-area-0.0.0,0Jnetwork 10.0.13.0 0.0.0.255 


[R4]ospf 1 
[R4-0spf-l1]Jarea 0 
[R4-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 


配置 完成 后 ， 在 分 支 A 的 网 关 设 备 R1 上 查看 路 由 表 中 关于 分 支 B 网 段 的 10.0.2.0 
的 条 目 。 

<R1>display ip routing-table 10.0.2.0 

Route Flags: R -relay, D - download to fib 

Routing Table : Public 

Summary Count; 1 

Destination/Mask Proto Pre Cost Flags NextHop Interface 

10.0.2.0/24 OSPF 110 4 D 10.0.13.3 GigabitEthernet0/0/1 
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可 以 观察 到 ， 网 络 配 置 调整 完成 后 ， 仍 然 维 持 使 用 R3 的 线路 转发 。 注 意 ， 最 后 还 
要 删除 RIP 协议 的 相关 配置 ， 以 免 造 成 不 必要 的 隐患 ， 删 除 步 又 此 处 省 略 。 

现 要 求 分 支 机 构 A 能 够 每 月 定期 检查 备用 路 径 是 否 正 常 可 用 , 那么 就 要 求 流量 能 
通过 R2 转发 ， 但 是 由 于 目前 经 过 R2 的 线路 的 开销 值 远 大 于 经 过 R3 的 线路 而 导致 无 法 
测试 ， 可 以 通过 手动 修改 OSPF 开销 值 的 方法 来 实现 路 径 选 择 。 

在 Rl 的 GE 0/0/1 接口 上 使 用 ospf cost 命令 配置 运行 OSPF 协议 所 需 的 开销 值 。 


[Rllinterface GigabitEthernet 0/0/1 
[Rl1-GigabitEthernet0/0/1]ospf cost 1000 


配置 完成 后 ， 在 分 支 A 的 网 关 设 备 R1 上 查看 路 由 表 中 关于 分 支 B 网 段 的 10.0.2.0 
的 条 目 。 


<R1>display ip routing-table 10.0.2.0 
Route Flags: R -relay, D - download to fib 


Routing Table : Public 

Summary Count: 1 

Destination/Mask Proto Pre Cost Flags NextHop Interface 

10.0.2.0/24 OSPF 110 98 D 10.0.12.2 Serial4/0/0 

可 以 观察 到 , 现在 发 送 至 分 支 B 的 流量 已 经 通过 R2 来 转发 , 经 过 R2 的 路 径 的 路 由 
开销 为 值 98， 远 小 于 R3 上 配置 的 路 由 开销 1000。 

注意 ，OSPF 链 路 开销 值 是 基于 接口 修改 的 ， 一 定 要 在 路 由 更 新 的 入 接口 修改 才 
生效 。 

4 配置 OSPF 计时 器 

网 络 管理 员 在 日 常 网 络 巡 检 中 发 现 ， 经 过 R3 的 线路 是 以 太 网 ， 在 OSPF 协议 中 的 
网 络 类 型 为 广播 网 络 类 型 , 即 默 认 Hello 计时 器 和 Dead 计时 器 是 10s 和 40s。 这样 OSPF 
数据 的 Hello 报 文 发 送 过 于 频繁 。 

现 修改 R1 上 Hello 计时 器 和 Dead 计时 器 为 20s 和 80s。 


[Rl1linterface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]ospf timer hello 20 
[R1-GigabitEthernet0/0/1]ospftimer dead 80 


稍 等 片刻 ， 会 发 现 R1 与 R3 的 邻居 关系 中 断 ， 这 是 因为 Hello 计时 器 和 Dead 
计时 器 在 OSPF 广播 网 络 中 建立 邻居 关系 时 要 进行 校 验 ， 校 验 一 致 才 能 够 建立 
邻居 。 

同样 修改 R3 的 两 个 计时 器 ， 和 R1 保持 一 致 。 


[R3j]interface GigabitEthernet 0/0/0 
[R3-GigabitEthernet0/0/1]ospf timer hello 20 
[R3-GigabitEthernet0/0/1]ospf timer dead 80 
配置 完成 后 ， 查 看 R1 的 邻居 状态 。 
<Rl>display ospf peer 

OSPF Process 1 with Router-ID 10.0.1.254 

Neighbors 

Area 0.0.0.0 interface 10.0.13.1(GigabitEthernet0/0/1)'s neighbors 
Router-ID: 10.0.13.3 Address: 10.0.13.3 
State: Full Mode:Nbris Master Priority: 1 
DR: 10.0.13.3 BDR:None MIU:0 
Deadtimer duein79 $s 
Retrans timer interval: 0 
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Neighbor is up for 00:00:18 
Authentication Sequence: [0 ] 


可 以 观察 到 ， 邻 居 恢 复 正常 。 
思考 


OSPF 的 Dead 计时 器 时 长 默认 为 什么 要 保持 是 Hello 计时 器 的 4 倍 ? 一 定 要 保持 4 
倍 关系 吗 ? 


8.8 连接 RIP 与 OSPF 网 络 


原理 概述 


不 同 的 网 络 会 根据 自身 的 实际 情况 来 选用 路 由 协议 。 比 如 有 些 网 络 规模 很 小 ， 为 了 
管理 简单 ， 部 署 了 RIP; 而 有 些 网 络 很 复杂 ， 可 以 部 署 OSPF。 不 同 路 由 协议 之 间 不 能 直 
接 共享 各 自 的 路 由 信息 ， 需 要 依靠 配置 路 由 的 引入 来 实现 。 

获得 路 由 信息 一 般 有 3 种 途径 : 直 连 网 段 、 静 态 配置 和 路 由 协议 。 可 以 将 通过 这 3 
种 途径 获得 的 路 由 信息 引入 到 路 由 协议 中 , 例如 , 把 直 连 网 段 引 入 到 OSPF 中 , 叫做 “ 引 
入 直 连 ” 把 静态 路 由 引入 OSPF， 叫 做 “引入 静态 路 由 ”把 RIP 引入 OSPF 叫做 “ 引 
入 RIP”。 当 把 这 些 路 由 信息 引入 到 路 由 协议 进程 以 后 ， 这 些 路 由 信息 就 可 以 在 路 由 协议 
进程 中 进行 通告 了 ， 也 就 是 说 通过 配置 引入 ,一 种 路 由 协议 可 以 自动 获得 所 有 来 自 男 一 
种 协议 的 所 有 路 由 信息 。 

不 同 的 路 由 协议 计算 路 由 开销 的 依据 是 不 同 的 ， 开 销 值 的 大 小 和 范围 都 是 不 同 的 。 
OSPF 的 开销 值 基于 带宽 ,而 且 值 的 范围 很 大 ，RIP 的 开销 基于 跳 数 ， 范 围 很 小 ， 所 以 当 
配置 OSPF 和 RIP 相互 引入 时 一 定 要 小 心 ( 在 华为 VRP 平台 上 ， 当 引入 OSPF 路 由 至 
RIP 时 ， 如 不 指定 Cost 值 ， 开 销 值 将 默认 设 为 1。 尽 管 如 此 ， 网 络 管理 员 还 是 应 该 手工 
配置 开销 值 以 反映 网 络 的 真实 情况 )。 


实验 目的 


。 理解 路 由 引入 的 应 用 场景 

。 掌握 RIP 中 引入 其 他 协议 的 配置 
。 掌握 OSPF 中 引入 其 他 协议 的 配置 
。 掌握 路 由 引入 时 修改 开销 值 的 方法 


实验 内 容 
本 实验 模拟 真实 网 络 场景 。 路 由 器 R1 分 别 连接 两 家 公司 网 络 ，R1 左 侧 公 司 A 内 部 
网 络 运行 RIP 协议 ， 公 司 B 内 部 网 络 运 行 OSPF 协议 。 由 于 业务 发 展 需 要 ， 两 家 公司 需 


要 能 够 互相 通信 。 但 由 于 两 家 公司 使 用 不 同 的 路 由 协议 ， 现 需要 在 路 由 器 R1 上 配置 双 
问 路 由 引入 。 
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实验 拓扑 
连接 RIP 与 OSPF 网 络 的 拓扑 如 图 8-10 所 示 。 


Se Ethernet0/0/! ER 党 -~ - 
Sl 7 \ Js 
4 GE 0/0/1 二 


Ethernet 0/0/2 225 a Ethernet 0/0/ 


Ethernet 0/0/1 





图 8-10 连接 RIP 与 OSPF 网 络 拓扑 


实验 编 址 


实验 编 址 见 表 8-8。 
表 8-8 实验 编 址 


| 具 地 址 >|， “ 子 网 的 码 默认 网 关 
R1 -CAR1220) GE 0/0/0 172.16.2.1 255.255255.0 N/A 
GE 0/0/1 192.168.2.1 255.235.235.0 N/A 
R2 (AR1220) GE 0/0/0 172.16.2.2 255.253.255:0 N/A 
GE 0/0/1 172.16.1.254 255.255.255.0 N/A 
R3 (CAR1220) GE 0/0/0 192.168.1.254 255.255.255.0 N/A 
GE 0/0/1 192.168.2.3 255.255.255.0 N/A 

PC-1 Ethernet 0/0/1 172.16.1.1 255.255.255.0 172.16.1.254 

PC-2 Ethernet 0/0/1 192.168.1.1 255.253.255,.0 192.168.1.254 


实验 步骤 
1. 基本 配置 
根据 实验 编 址 表 进 行 相 应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
区 2]ping 172.16.1.1 


PING 172.16.1.1: 56 data bytes, press CTRL_C to break 
Reply from 172.16.1.1: bytes=56 Sequence=l ttl=128 time=50 ms 
Reply from 172.16.1.1: bytes=56 Sequence=2 ttl=128 time=60 ms 
Reply from 172.16.1.1; bytes=56 Sequence=3 ttl=128 time=80 ms 
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Reply from 172.16.1.1: bytes=56 Sequence=4 ttl=128 time=30 ms 
Reply from 172.16.1.1: bytes=56 Sequence=5 ttl=128 time=60 ms 
--- 172.16.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 30/56/80 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2. 搭建 RIP 和 OSPF 网 络 

根据 图 8-10 配置 路 由 协议 ， 公 司 A 内 部 运行 RIP 协议 。 在 R1 和 R2 上 配置 RIP， 
进程 号 为 1， 启 用 RIP v2 版本、 关闭 自动 汇总 ,通告 各 自 接口 所 在 网 段 ，R1 在 RIP 中 仅 
通告 GE 0/0/0 接口 所 在 网 段 。 

[RI1lrip 1 

[Rl-rip-l1]version 2 


[Ri-rip-l]jundo summary 
[Rl-rip-llnetwork 172.16.0.0 


[R2jrip 1 

[R2-rip-1]jversion 2 
[R2-rip-1]undo summary 
[R2-rip-l network 172.16.0.0 


公司 B 内 部 运行 OSPF 协议 。 在 R1 和 R3 上 配置 OSPF， 使 用 进程 号 1， 所 有 网 段 
都 属于 区 域 0，R1 在 OSPF 中 仅 通告 GE 0/0/1 接口 所 在 网 段 。 


[Rllospf 1 
[Rl-ospf-ll]area 0 
[Rl1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 


[R3]ospf 1 

[R3-ospf-1l]area0 

[R3-osp 他 1]network 192.168.2.0 0.0.0.255 
[R3-ospf1jnetwork 192.168.1.0 0.0.0.255 


配置 完成 后 查看 R1 的 路 由 表 。 
[Rl1l]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
172.16.1.0/24 RIP 100 1 D 172.16.2.2 GigabitEthermmet0/0/0 
172.16.2.0/24 Direct 0 0 D 1 L621 GigabitEthernet0/0/0 
172.16.2.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.1.0/24 OSPF 10 2 D 192.168.2.3 GigabitEthernet0/0/1 
192.168.2.0/24 Direct 0 0 D 192.168.2.1 GigabitEthernet0/0/1 
192.168.2.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
127.0.0.0/8 ”Direct 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 D 127.0.0.1 JInLoopBack0 
由 于 R1 上 同时 运行 了 RIP 协议 和 OSPF 协议 , 可 以 观察 到 RR1 同时 拥有 公司 A 和 公 
司 B 的 路 由 信息 。 


3， 配置 双向 路 由 引入 
为 了 使 两 个 公司 网 络 能 够 互相 访问 , 需要 把 公司 A 的 RIP 协议 的 路 由 引入 到 公司 B 
的 OSPF 协议 中 ， 同 样 把 公司 B 的 OSPF 协议 的 路 由 引入 到 公司 A 的 RIP 协议 中 。 
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在 Rl 的 OSPF 进程 中 使 用 import-route rip 命令 引入 RIP 路 由 。 


[Rllospf 1 
[RI-ospfI]import-route rip 1 


配置 完成 后 ， 查 看 R3 的 路 由 表 。 
[IR3]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes : 8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 

172.16.1.0/24 © ASE 150 1 D 192.168.2.1 GigabitEthemet0/0/1 
172.16.2.0/24 ©O ASE 150 1 D 192.168.2.1 GigabitEthemet0/0/1 
192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthemet0/0/0 

192.168.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/0 
192.168.2.0/24 Direct 0 0 D 192.168.2.3 GigabitEthermnet0/0/1 
192.168.2.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
127.0.0:0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 ”Direct 0 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 R3 上 现在 拥有 来 自 公 司 A 的 路 由 信息 。 

在 Rl 的 RIP 进程 中 使 用 import-route ospf 命令 引入 OSPF 路 由 。 
[Rlilrip 1 

[Rl1-rip-llimport-route ospf 1 

配置 完成 后 ， 查 看 R2 的 路 由 表 。 

[R21]display ip routing-table 

Route Flags: R -relay,D - download to fib 


Routing Tables: Public 
Destinations : 8 Routes :8 


Destination/Mask Proto Pre Cost Flags NextHop Interface 
172.16.1.0/24 Direct 0 0 D 172.16.1.254 GigabitEthernet0/0/1 
172.16.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.2 GigabitEthernet0/0/0 
172.16.2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192,168.1.0/24 -RIP 100 1 D 172.16.2.1 GigabitEthernet0/0/0 
192.168.2.0/24 RIP 100 1 D 172.16.2.1 GigabitEthernet0/0/0 
127.0.0.0/8 ”Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 ” Direct 0 0 D 127.0.0.1 InLoopBack0 
可 以 观察 到 R2 上 现在 拥有 来 自 公司 B 的 路 由 信息 ， 且 路 由 的 开销 值 默认 都 
ATI 
当 配 置 路 由 引入 后 双方 可 以 互相 获得 对 方 的 路 由 信息 ， 但 是 在 各 自 的 路 由 表 中 ， 开 
销 都 为 默认 值 1。 


4. 手工 配置 引入 时 的 开销 值 

为 了 能 够 反映 真实 的 网 络 拓扑 情况 ， 更 好 地 进行 路 由 控制 。 网 络 管理 员 在 将 OSPF 
引入 RIP 时 手工 配置 路 由 开销 值 , 例如 在 R1 的 RIP 进程 中 使 用 import-route ospf 1 cost 
3 命令 修改 开销 值 为 3。 


[Rllrip 1 
[Rl-rip-l]import-route ospf 1 cost 3 


配置 完成 后 ， 在 R2 上 查看 Cost 值 的 变化 情况 。 
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[R21]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 10 Routes : 10 
Destination/Mask Proto Pre Cost Flags NextHop Interface 

172.16.1.0/24 © Direct 0 0 D 172.16.1.254 GigabitEthernet0/0/1 
172.16.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.2 GigabitEthernet0/0/0 
172.16.2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.1.0/24 RIP 100 4 D 172.16.2.1 GigabitEthernet0/0/0 
192.168.2.0/24 -RIP 100 4 D 1721621 GigabitEthemet0/0/0 

127.0.0.0/8 Direct 0 0 D 127.0:0.1 InLoopBack0 

127.0.0.1/32 Direct 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 在 R2 的 路 由 表 中 两 条 路 由 的 Cost 值 已 经 变 为 4， 这 是 因为 还 加 上 了 
R2 接口 上 的 Cost 值 1。 


思考 
关于 在 路 由 引入 时 手工 修改 路 由 的 Cost 值 ， 这 么 做 还 有 其 他 的 用 处 吗 ? 


8.9 ”使 用 RIP、OSPF 发 布 默认 路 由 


原理 概述 


默认 路 由 是 指 目的 地 址 和 掩 码 都 是 0 的 路 由 条 目 。 当 路 由 器 无 精确 匹配 的 路 由 时 ， 就 
可 以 通过 默认 路 由 进行 报 文 转 发 。 

合理 使 用 默认 路 由 ， 可 以 在 很 大 程度 上 减 小 本 地 路 由 表 的 大 小 ， 节 约 设备 资源 。 默 
认 路 由 可 以 在 路 由 器 上 手工 配置 ， 也 可 以 由 路 由 协议 自动 发 布 。 

RIP 和 OSPF 这 两 种 路 由 协议 都 可 以 通过 配置 使 路 由 器 对 协议 邻居 发 布 默认 路 由 ， 
并 且 可 以 设置 该 路 由 的 度量 值 。 


实验 目的 


。 理解 默认 路 由 的 应 用 场景 
。 掌握 RIP 发 布 默认 路 由 的 配置 
。 掌握 OSPF 发 布 默认 路 由 的 配置 


实验 内 容 


本 实验 模拟 真实 网 络 场景 。 路 由 器 R1 分 别 连接 两 家 公司 网 络 ，R1 左 侧 公 司 A 
内 部 网 络 运行 RIP 协议 , 公司 B 内 部 网 络 运行 OSPF 协议 。 由 于 业务 发 展 需要 ， 两 家 
公司 人 员 需 要 能 够 互相 通信 ,但 是 为 了 保护 自身 网 络 的 私密 性 ， 双 方 都 不 愿意 对 方 知 
道 目 己 网 络 的 明细 路 由 。 这 种 情况 下 需要 配置 路 由 协议 以 自动 发 布 默认 路 由 的 方式 来 
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实验 拓扑 
使 用 RIP、OSPF 发 布 默认 路 由 的 拓扑 如 图 8-11 所 示 。 
RI1 
小 到 GEoo0 As GE 0/0/1 i 
GE 0/0/0 
"a Etheret 0/0/1 C32 R2 ’ 
SL ss | 三] S2 
GE 0/0/1 





Ethemet 0/021 IE 


Ethernet 0/0/2| 





Ethernet 0/0/1 Ethernet 0/0/1 
PC-1 PC-2 


图 8-11 使 用 RIF、OSPF 发 布 默认 路 由 拓扑 
实验 编 址 


实验 编 址 见 表 8-9。 
表 8-9 实验 编 址 
设备 IP 地 址 子 网 挤 码 默认 网 关 
GE 0/0/0 172.16,2.1 235.255.255.0 N/A 
RI1 (AR1220) 
GE 0/0/1 192.168.2.1 255.255.255.0 N/A 
GE 0/0/0 172.16.2.2 255.255.255.0 N/A 
R2 (AR1220) 
GE 0/0/1 172.16.1.254 255.255.253:0 N/A 
GE 0/0/0 192.168.1.254 255.255.255.0 N/A 
R3 (AR1220) 
GE 0/0/1 192.168.2.3 255.255.255.0 N/A 
PC-1 Ethernet 0/0/1 172.16.1.1 255.255.255.0 172.16.1.254 
PC-2 Ethernet 0/0/1 192.168.1.1 255.255.255.0 192.168.1.254 


实验 步骤 
1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 


[R2]ping 172.16.1.1 
PING 172.16.1.1: 56 data bytes, press CTRL_C to break 
Reply from 172.16.1.1: bytes=56 Sequence=l ttl=128 time=50 ms 
Reply from 172.16.1.1: bytes=56 Sequence=2 ttl=128 time=60 ms 
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Reply from 172.16.1.1: bytes=56 Sequence=3 ttl=128 time=80 ms 
Reply from 172.16.1.1: bytes=56 Sequence=4 ttl=128 time=30 ms 
Reply from 172.16.1.1: bytes=56 Sequence=5 ttl=128 time=60 ms 
--- 172.16.1.1 ping statistics --- 

5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 30/56/80 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2. 配置 RIP 和 OSPF 路 由 协议 

根据 实验 拓扑 图 配置 路 由 协议 , 公司 A 内 部 运行 RIP 协议 。 在 R1 和 R2 上 配置 RIP， 
进程 号 为 1， 启用 RIP v2 版 本 、 关 闭 自动 汇总 ， 通 告 各 自 接口 所 在 网 段 ，R1 在 RIP 中 仅 
通告 GE 0/0/0 接口 所 在 网 段 。 


Bl]rip 1 

[Rl-rip-l]version 2 
[Rl-rip-llundo summary 
[Rl-rip-l]network 172.16.0.0 


[R2]rip 1 

[R2-rip-1jversion 2 
[R2-rip-1jundo summary 
[R2-rip-llnetwork 172.16.0.0 


公司 B 内 部 运行 OSPF 协议 。 在 Rl1 和 R3 上 配置 OSPF， 使 用 进程 号 1， 所 有 网 段 
都 属于 区 域 0，R1 在 OSPF 中 仅 通告 GE 0/0/1 接口 所 在 网 段 。 


[Rll]ospf 1 
[Rl-ospf-llarea 0 
[R1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 


[R3]ospf 1 

[R3-ospf-1larea 0 

[R3-ospf-l]network 192.168.2.0 0.0.0.255 
区 3-ospf-1]jnetwork 192.168.1.0 0.0.0.255 


配置 完成 后 查看 R1 的 路 由 表 。 
[Rlldisplay ip routing-table 
Route Flags: R -relay, D - download to fib 
Routing Tables: Public 
Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 


172.16.1.0/24 RIP 100 1 D 172.16.2.2 GigabitEthernet0/0/0 

172.16.2.0/24 Direct 0 0 D 172.16.2.1 GigabitEthernet0/0/0 

172.16.2.1/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/0 
192,168.1.0/24 OSPF 10 2 D 192.168.2.3 GigabitEthernet0/0/1 
192.168.2.0/24 Direct 0 0 D 192.168.2.1 GigabitEthernet0/0/1 
192.168.2.1/32 Direct 0 0 D 127.0.0.1 GigabitEthermet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 


由 于 R1 上 同时 运行 了 RIP 协议 和 OSPF 协议 , 可 以 观察 到 R1 同时 拥有 公司 A 和 公 
司 B 的 路 由 信息 。 
查看 R2 和 R3 的 路 由 表 。 


区 2]display ip routing-table 
Route Flags; R - relay, D - download to fib 
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Routing Tables: Public 


Destinations : 6 Routes:6 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
172.16.1.0/24 “Direct 0 0 D 172.16.1.254 ~ GigabitEthernet0/0/1 
172.16.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
172.16.2.0/24 Direct 0 0 D 172.16.2.2 GigabitEthernet0/0/0 
172.16.2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthermnet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations :6 Routes :6 
Destination/Mask Proto Pre Coat Flags NextHop Interface 
192.168.1.0/24 “Direct 0 0 D 192.168.1.254 GigabitEthermet0/0/0 
192.168.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.2.0/24 “Direct 0 0 D 192.168.2.3 GigabitEthemnet0/0/1 
192.168.2.3/32 Direct 0 0 D 127.0.0.1 GigabitEthemet0/0/] . 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127:0:0N1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 此 时 在 R2 和 R3 上 都 只 拥有 本 公司 的 路 由 信息 。 测 试 PC-1 与 PC-2 
间 的 连通 性 。 

PC>ping 192.168.1.1 

Ping 192.168.1.1: 32 data bytes, Press Ctrl_C to break 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeout! 


可 以 观察 到 ， 公 司 A 和 公司 B 之 间 的 PC 也 无 法 进行 通信 。 

3. 配置 RIP 发 布 默认 路 由 

公司 A 需要 能 访问 公司 B 的 网 络 ， 而 公司 B 为 了 保护 自身 网 络 私密 性 ， 不 希望 公 
司 A 获知 自身 内 部 网 络 的 明细 路 由 ， 这 时 可 以 在 R1 的 RIP 协议 进程 中 发 布 默认 路 由 ， 
使 公司 A 能 在 没有 公司 B 的 明细 路 由 的 情况 下 访问 公司 B 的 网 络 。 

在 Rl 的 RIP 进程 中 ， 使 用 default-route originate 命 令 发 布 默认 路 由 。 

匡 a ldefault-route originate 

配置 完成 后 ， 在 R2 上 查看 路 由 表 。 

[R2]display ip routing-table 

Route Flags: R - relay, D - download to fb 


Routing Tables: Public 
Destinations : 7 Routes :7 

Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 RIP 100 ‘ 172.16.2.1 GigabitEthemet0/0/0 
172.16.1.0/24 ”Direct 0 172.16.1.254 GigabitEthernet0/0/1 
172.16.1.254/32 Direct 0 127.0.0.1 GigabitEthernet0/0/1 
172.16.2.0/24 Direct 0 172.16.2.2 GigabitEthemet0/0/0 
172.16.2.2/32 Direct 0 127.0.0.1 GigabitEthernet0/0/0 


三 忆 = 几 = 计 = 记忆 


1 
0 
0 
0 
0 
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127.0.0.0/8 Direct 0 , > 127.0.0.1 InLoopBack0 
127.0.0.1/32 “Direct 0 127.0.0.1 InLoopBack0 
可 以 观察 到 R2 上 有 一 条 从 R 协议 获取 来 的 默认 路 由 ， 通过 这 条 默认 路 由 ， 公 司 
A 可 以 访问 公司 B 的 网 络 。 


4. 配置 OSPF 发 布 默认 路 由 

为 了 能 够 实现 通信 ， 公 司 B 也 需要 访问 公司 A 的 网 络 ， 而 公司 A 同样 为 了 保护 自身 网 
络 私密 性 ， 不 希望 公司 B 获知 自身 内 部 网 络 的 明细 路 由 。 这 时 可 以 在 Rl 的 OSPF 协议 进程 
中 发 布 默认 路 由 ， 使 公司 B 能 在 没有 公司 A 的 明细 路 由 的 情况 下 能 够 访问 公司 A 的 网 络 。 

在 Rl 的 OSPF 进程 中 ， 使 用 default-route-advertise always 命令 发 布 默认 路 由 。 

人 ldefault-route-advertise always 


配置 完成 后 ， 在 R3 上 碍 看 路 由 表 。 


[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 OASE 150 1 D 192.168.2.1 GigabitEthernet0/0/1 
192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthernet0/0/0 
192.168.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
192.168.2.0/24 Direct 0 0 D 192.168.2.3 GigabitEthernet0/0/1 
192.168.2.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
可 以 观察 到 R3 上 有 一 条 通过 OSPF 协议 获得 的 默认 路 由 ， 通 过 这 条 默认 路 由 ， 


司 B 可 以 访问 公司 A 的 网 络 。 

再 次 验证 PC-1 与 PC-2 之 间 的 连通 性 。 
PC>ping 192.168.1.1 
Ping 192.168.1.1: 32 data bytes, Press Ctrl C to break 
From 192.168.1.1:bytes=32 seq=] ttl=125 time=109 ms 
From 192.168.1.1: bytes=32 seq=2 ttl=125 time=78 ms 
From 192.168.1.1: bytes=32 seq=3 ttl=125 time=78 ms 
From 192.168.1.1: bytes=32 seq=4 ttl=125 time=94 ms 
From 192.168.1.1: bytes=32 seq=5 ttl=125 time=62 ms 
--- 192.168.1.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 62/84/109 ms 


通过 观察 可 以 看 到 此 时 PC 之 间 能 够 正常 通信 。 

通过 配置 看 到 在 RIP 和 OSPF 中 都 可 以 为 各 自 路 由 协议 发 布 默认 路 由 。 配 置 默认 路 由 在 
可 以 保证 网 络 的 可 达 性 的 情况 下 , 不 仅 可 以 保护 网 络 的 私密 性 , 同时 能 够 有 效 减少 路 由 表 中 
路 由 条 目的 数量 ， 使 得 路 由 器 不 需要 维护 大 量 的 路 由 信息 ， 同 时 其 配置 和 维护 相对 简单 。 


思考 


在 本 实验 的 步骤 4 中 ,OSPF 发 布 默认 路 由 时 使 用 到 了 default-route advertise always 
命令 ， 如 果 末 尾 不 加 always 参数 ， 会 出 现 什么 情况 ? 如 何 解决 ? 
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9.1 VRRP 基本 配置 


原理 概述 


随 着 Internet 的 发 展 ， 人 们 对 网 络 可 靠 性 的 要 求 越 来 越 高 。 对 于 用 户 来 说 ， 能 够 
时 刻 与 外 部 网 络 保持 通信 非常 重要 , 但 内 部 网 络 中 的 所 有 主机 通常 只 能 设置 一 个 网 关 
IP 地 址 ， 通 过 该 出 口 网 关 实 现 主机 与 外 部 网 络 的 通信 。 若 此 时 出 口 网 关 设 备 发 生 故 
障 , 主机 与 外 部 网 络 的 通信 就 会 中 断 ， 所 以 配置 多 个 出 口 网 关 是 提高 网 络 可 靠 性 的 常 
用 方法 。 为 此 ，IETF 组 织 推 出 了 VRRP 协议 ， 主 机 在 多 个 出 口 网 关 的 情况 下 ， 仅 需 
配置 一 个 虚拟 网 关 IP 地 址 作为 出 口 网 关 即 可 ， 解 决 了 局 域 网 主机 访问 外 部 网 络 的 可 
靠 性 问题 。 

VRRP (Virtual Router Redundancy Protocol) 全 称 是 虚拟 路 由 器 元 余 协 议 ， 它 是 一 种 
容错 协议 。 该 协议 通过 把 几 台 路 由 设备 联合 组 成 一 台 虚 拟 的 路 由 设备 ， 该 虚拟 路 由 器 在 
本 地 局 域 网 拥有 唯一 的 一 个 虚拟 ID 和 虚拟 IP 地 址 。 实 际 上 ， 该 虚拟 路 由 器 是 由 一 个 
Master 设备 和 若干 Backup 设备 组 成 。 正 常情 况 下 ， 业 务 全 部 由 Master 承担 ， 所 有 用 户 
端 仅 需 设置 此 虚拟 IP 为 网 关 地 址 。 当 Master 出 现 故 障 时 ，Backup 接替 工作 ， 及 时 将 业 
务 切 换 到 备份 路 由 器 ， 从 而 保持 通信 的 连续 性 和 可 靠 性 。 而 用 户 端 无 需 做 任何 配置 更 改 ， 
对 故障 无 感知 。 

VRRP 的 Master 选举 基于 优先 级 ， 优 先 级 取 值 范围 是 0~255， 默 认 情 况 下 ， 配 置 优 
先 级 为 100。 在 接口 上 可 以 通过 配置 优先 级 的 大 小 来 手工 选择 Master 设备 。 


实验 目的 


。 理解 VRRP 的 应 用 场景 

。 掌握 VRRP 虚拟 路 由 器 的 配置 

e 掌握 修改 VRRP 优先 级 的 方法 

。 掌握 查看 VRRP 主 备 状态 的 方法 


实验 内 容 


本 实验 模拟 企业 网 络 场 景 。 公司 内 员工 所 用 电脑 , 如 PC-1、PC-2, 通过 交换 机 LSW1 
连接 到 公司 网 络 ，LSW1 连接 到 公司 出 口 网 关 路 由 器 。 为 了 提高 网 络 的 可 靠 性 ， 公 司 使 
用 两 台 路 由 器 R2 与 R3 作为 双 出 口 连接 到 外 网 路 由 器 R1。R1、R2、R3 之 间 运 行 OSPF 
协议 。 在 双 网 关 的 情况 下 ， 如 果 在 PC 上 配置 R2 或 R3 的 真实 IP 地 址 作为 网 关 ， 当 其 中 
一 台 路 由 器 故障 时 ， 就 需要 手动 更 改 PC 的 网 关 IP， 若 网 络 中 有 大 量 PC 则 需要 耗费 大 
量 时 间 和 人 力 去 更 改 配置 ， 且 会 带 来 一 定时 间 的 断 网 影响 。 为 了 能 够 使 故障 所 造成 的 断 
网 影响 达到 最 小 化 ， 增 强 网 络 的 可 靠 性 ， 网 络 管理 员 在 R2 与 R3 之 间 部 署 VRRP 协议 ， 
这 样 当 任 一 网 关 发 生 故 障 时 就 能 自动 切换 而 无 需 更 改 PC 的 网 关 IP 地 址 。 


实验 拓扑 
VRRP 基本 配置 的 拓扑 如 图 9-1 所 示 。 
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图 9-1 VRRP 基本 配置 拓扑 


实验 编 址 


实验 编 址 见 表 9-1。 
表 9-1 实验 编 址 


设 徊 三 地 下 子 网 撞 码 吉 认 网 关 
GE 0/0/0 172.16.2.254 255.255.255.0 N/A 
Wo | GEoo 
GE 0/0/1 172.16.3.254 255.255.255,0 N/A 
GE 0/0/0 172.16.2.100 235:255.255.0 N/A 
R2 (AR1220) 


Ethernet 1/0/1 172.16.1.100 255.255.255.0 N/A 
R3 (CAR1220) GE 0/0/1 172.16.3.200 255.255.255.0 N/A 
Ethernet 1/0/1 172.16.1.200 255.255.255.0 N/A 

PC-1 Ethernet 0/0/1 172.16.1.1 255.255.255.0 172.16.1.254 

PC-2 Ethernet 0/0/1 172.16.1.2 255.255.255.0 172.16.1.254 


实验 步 又 


1. 基本 配置 
根据 实验 编 址 表 进 行 相 应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
[Rijping 172.16.2.100 
PING 172.16.2.100: 56 data bytes, press CTRL C to break 
Reply from 172,16.2.100: bytes=56 Sequence=]1 ttl=255 time=]110 ms 
Reply from 172.16.2.100: bytes=56 Sequence=2 ttl=255 time=10 ms 
Reply from 172.16.2.100; bytes=56 Sequence=3 ttl=255 time=] ms 
Reply from 172.16.2.100: bytes=56 Sequence=4 ttl=255 time=20 ms 
Reply from 172.16.2.100: bytes=56 Sequence=5 ttl=255 time=50 ms 
-一 172.16.2.100 ping statistics -~- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/38/110 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
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2. 部 署 OSPF 网 络 

在 公司 的 出 口 网 关 路 由 器 RI、R2 和 外 网 路 由 器 R3 上 配置 OSPF 协议 , 使 用 进程 号 
1， 且 所 有 网 段 均 通告 进 区 域 0 中 。 

[Rllospf 1 

[R1l-ospf-1]area 0 

[R1-ospf-1-area-0.0.0.0Jnetwork 172.16.2.0 0.0.0.255 

[R1-0spf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 


[R21]ospf 1 

[R2-ospf-1]area 0 

[R2-0spf-1-area-0.0.0.0Inetwork 172.16.1.0 0.0.0.255 
[R2-osp 信 1-area-0.0.0.0]jnetwork 172.16.2.0 0.0.0.255 


[R3]ospf 1 

[R3-ospf-llarea 0 

[R3-0spf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 
[R3-0spf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 


配置 完成 后 ， 在 R1 上 检查 OSPF 邻居 建立 情况 。 


[Rlldisplay ospfpeer brief 
OSPF Process 1 with Router-ID 172.16.2.254 
Peer Statistic Information 
Area ld Interface Neighbor id State 
0.0.0.0 GigabitEthernet0/0/0 172.16.1.100 Full 
0.0.0.0 GigabitEthernet0/0/1 172.16.1.200 Full 


可 以 观察 到 ， 此 时 R1 已 经 与 R2、R3 成 功 建立 起 了 OSPF 邻居 关系 。 

3. 配置 VRRP 协议 

为 了 提高 网 络 的 可 靠 性 ， 公 司 采 用 双 出 口 的 方式 连接 到 外 网 。 现 网 络 管理 员 
想 针 对 两 人 台 出 口 网 关 路 由 器 实现 主 备 备份 ， 即 正常 情况 下 ， 只 有 主 网 关 工 作 ， 当 
其 发 生 故 障 时 能 够 自动 切换 到 备份 网 关 。 现 在 通过 配置 VRRP 协议 来 实现 这 样 的 

在 R2 和 R3 上 配置 VRRP 协议 ,使 用 vrrp vrid 1 virtual-ip 命令 创建 VRRP 备份 组 ， 
指定 即 R1 和 R2 处 于 同一 个 VRRP 备份 组 内 ，VRRP 备份 组 号 为 1， 配 置 虚拟 全 为 
172.16.1.254。 注 意 虚拟 他 地 址 必须 和 当前 接口 在 同一 网 段 。 


[R2]interface ethernet1/0/1 
[R2-Ethernet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 


[R3]interface ethernet1/0/1 
[R3-Ethernet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 


经 过 配置 后 ，PC 将 使 用 虚拟 路 由 器 IP 地 址 作为 默认 网 关 。 

在 VRRP 协议 中 ， 优 先 级 决定 路 由 器 在 备份 组 中 的 角色 ， 优 先 级 高 者 成 为 Master。 
如 果 优 先 级 相同 ， 比 较 接 口 的 了 P 地 址 大 小 ， 较 大 的 成 为 Master。 优 先 级 值 默 认为 100， 
0 被 系统 保留 ，255 保留 给 IP 地 址 拥有 者 使 用 。 

现在 配置 R2 的 优先 级 为 120，R3 的 优先 级 保持 默认 100 不 变 ， 这 将 使 得 R2 成 为 
Master，R3 为 Backup。 

[R2-Ethernet1/0/l1yrrp vrid 1 priority 120 
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配置 完成 后 ， 在 R2 和 R3 上 使 用 display vrrp 命令 查看 VRRP 信息 。 


[R2]display vrrp 

Ethernet1/0/1 | Virtual Router 1 
State : Master 

Virtual IP : 172.16.1.254 
Master IP : 172.16.1.100 
PriorityRun : 120 

PriorityConfig : 120 
MasterPriority : 120 

Preempt: YES Delay Time :0s 


[R3]display vrrp 

Ethernet1/0/1 | Virtual Router 1 
State : Backup 

Virtual IP : 172.16.1.254 

Master 了 了 : 172.16,1.100 
PriorityRun : 100 

PriorityConfig : 100 
MasterPriority : 120 

Preempt :YES Delay Time :0s 


可 以 观察 到 现在 R2 的 VRRP 状态 是 Master，R3 是 Backup。 两 者 都 处 在 VRRP 备 
份 组 1 中 ， 且 都 是 E 1/0/1 接口 运行 在 VRRP 协议 中 。 输 出 信息 中 的 PriorityRun 表示 设 
备 当前 的 运行 优先 级 ; PriorityConfig 表示 为 该 设备 配置 的 优先 级 MasterPriority 为 该 备 
份 组 中 Master 的 优先 级 ; 一 般配 置 优先 级 就 是 运行 优先 级 ， 但 个 别 情况 下 可 能 运行 优先 
级 和 配置 优先 级 会 不 一 样 ， 在 后 续 实 验 中 会 进行 讨论 。 

也 可 以 使 用 display vrrp brief 或 display vrrp interface 命令 来 显示 VRRP 的 工作 状 
态 ， 以 R2 为 例 。 


[R2]display vrrp brief 
VRID State Interface Type Virtual IP 
1 Master Eth1/0/] Normal 172.16.1.254 


Taotal:1 Master:1 Backup:0 Non-active:0 


[R2]display vrrp interface ethernet1/0/1 
Ethernet1/0/1 | Virtual Router 1 

State : Master 

Virtual IP : 172.16.1.254 

Master IP : 172.16.1.100 

PriorityRun : 120 

PriorityConfig : 120 

MasterPriority : 120 

Preempt :YES Delay Time:0s 
测试 PC 访问 公 网 时 的 数据 包 转 发 路 径 。 
PC>tracert 172.16,2.254 

traceroute to 172.16.2.254, 8 hops max 
(ICMP), press Ctrl+C to stop 
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1 172.16.1.100 32ms 31lms 15 ms 
2 172.16.2.254 63ms 62ms 47ms 


可 以 观察 此 时 都 是 通过 R2 转发 。 
4. 验证 VRRP 主 备 切 换 
现在 手动 模拟 网 络 出 现 故 障 ， 将 LSW1 的 EE0/0/1 接口 关闭 。 


[LSW1l]interface ethernet0/0/1 
丰 SW1-Ethernet0/0/1]shutdown 


经 过 3s 左右， 使 用 display vrrp 查看 R3 的 VRRP 信息 。 


区 3]display vrrp 
Ethernet1/0/1 | Virtual Router 1 
State : Master 
Virtual IP : 172.16.1.254 
Master IP : 172.16.1.200 
PriorityRun : 100 
PriorityConfig : 100 
MasterPriority : 100 
Preempt: YES Delay Time:0s 


PE 


可 以 观察 到 R3 切换 成 为 了 Master， 从 而 能 够 确保 用 户 对 公 网 的 访问 ， 几 乎 感知 不 
到 故障 的 发 生 。 

测试 PC 访问 公 网 时 的 数据 包 转 发 路 径 。 
PC>tracert 172.16.2.254 
traceroute to 172.16.2.254, 8 hops max 
(ICMP), press Ctrl+C to stop 

1 172.16.1.200 63ms lS5ms 32ms 

2 172.16.2.254 62ms 62ms 32ms 


发 现 数据 包 发 送 路 径 已 经 切换 到 R3。 
如 果 R2 从 故障 中 恢复 ， 手 动 开 启 LSW1 的 EE0/0/1 接口 。 


[LWSI1linterftace ethernet0/0/1 
LSW1-Ethernet0/0/1]undo shutdown 


查看 R2 和 R3 的 VRRP 工作 状态 。 


[R2]display vrrp brief 

Total:1 Master:1 Backup:0 Non-active:0 

VRID State Interface Type Virtual IP 

1 Master Eth1/0/1 Normal 172.16.1.254 

[R3]display vrrp brief 

Total;l Master:1 Backup:0 Non-active:0 

ee State Interface Type Virtual IP 
Backup Eth1/0/1 Normal 172.16.1.254 


可 以 观察 到 Master 设备 又 立刻 重新 切换 回 至 R2。 
测试 PC 访问 公 网 时 的 数据 包 转 发 路 径 。 


PC>tracert 172.16.2.254 

traceroute to 172.16.2.254, 8 hops max 
(ICMP), press Ctrl+C to stop 

1 172.16.1.100 47ms 47ms 46ms 
2 172.16.2.254 78ms 78ms 62ms 


可 以 验证 也 切换 回 R2 转发 。 而 这 整个 过 程 对 于 用 户 来 说 是 透明 的 。 
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思考 
如 果 主 路 由 器 出 现 故 障 ， 比 如 断 电 停机 了 ， 备 份 路 由 器 是 通过 什么 机 制 检测 到 的 ? 


9.2 配置 VRRP 多 备份 组 


原理 概述 


当 VRRP 配置 为 单 备份 组 时 ， 业 务 全 部 由 Master 设备 承担 ， 而 Backup 设备 完全 处 
于 空闲 状态 ， 没 有 得 到 充分 利用 。VRRP 可 以 通过 配置 多 备份 组 来 实现 负载 分 担 ， 有 效 
地 解决 了 这 一 问题 。 

VRRP 允许 同一 台 设 备 的 同一 个 接口 加 入 多 个 VRRP 备份 组 ， 在 不 同 备 份 组 中 有 不 
同 的 优先 级 ， 使 得 各 备份 组 中 的 Master 设备 不 同 ， 也 就 是 建立 多 个 虚拟 网 关 路 由 器 。 各 
主机 可 以 使 用 不 同 的 虚拟 组 路 由 器 作为 网 关 出 口 ， 这 样 可 以 达到 分 担 数据 流 而 又 相互 备 
份 的 目的 ， 充 分 利用 了 每 一 台 设 备 的 资源 。 

VRRP 的 优先 级 取 值 范围 中 ，255 是 保留 给 IP 地址 拥有 者 使 用 的 ， 当 一 个 VRRP 路 
由 器 的 物理 端口 PP 地 址 和 虚拟 路 由 器 的 虚拟 卫 地 址 相同 ， 这 人 台 路 由 器 称 为 虚拟 卫 地 址 
拥有 者 ，VRRP 优先 级 自动 设置 为 255; 优先 级 0 也 是 特殊 值 ， 当 Master 设备 删除 VRRP 
配置 停止 运行 VRRP 时 ， 会 发 送 优先 级 为 0 的 VRRP 报 文通 知 Backup 设备 ， 当 Backup 
收 到 该 消息 后 ， 立 刻 从 Backup 状态 转 为 Master 状态 。 


实验 目的 


。 理解 VRRP 多 备份 组 的 应 用 场景 

。 掌握 VRRP 多 备份 组 的 配置 方法 

。 理解 VRRP 的 运行 优先 级 和 配置 优先 级 
。 理解 VRRP 虚拟 地 址 拥有 者 的 应 用 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。 该 公司 使 用 两 台 路 由 器 R2 和 R3 作为 出 口 网 关连 接 到 外 
网 R1，R2 和 R3 运行 VRRP 协议 ， 两 台 路 由 器 在 同一 个 虚拟 组 。 当 R2 为 主 路 由 器 时 ， 
所 有 业务 流量 都 由 R2 承担 ， 高 峰 期 时 会 造成 网 络 阻塞 ， 而 R3 一 直 处 于 空闲 状态 ， 这 样 
束 造 成 了 一 台 路 由 器 资源 的 浪费 。 现 在 为 了 优化 公司 网 络 , 增加 设备 利用 率 ,需要 在 R2 
和 R3 之 间 部 团 双 备份 组 VRRP， 使 得 R2、R3 分 别 为 两 个 备份 组 的 Master, 保证 设备 的 
利用 率 。 


实验 拓扑 
配置 VRRP 多 备份 组 的 拓扑 如 图 9-2 所 示 。 


292 HCNA 网 络 技术 实验 指南 







Ethernet 0/0/1 








GE 0/0/0 





Ethernet 1/0/1 


Ethernet 0/0/3 Ethernet 0/0/1 


Ethernet 0/0/4 







Ethernet 0/0/2 


Ethernet 0/0/1 Whee 





172.16.1,200" 


PC-2 R3 


图 9-2 配置 VRRP 多 备份 组 拓扑 


实验 编 址 


实验 编 址 见 表 9-2。 
表 9-2 实验 编 址 


设备 IP 地 址 子 网 掩 码 默认 网 关 
R1 CAR1220) GE 0/0/0 172.16.2.254 255.255.255.0 N/A 
GE 0/0/1 172.16.3.254 2533.2535.235:0 N/A 
.16.2. 

R2 (AR1220) GE 0/0/0 172.16.2.100 255.255.255.0 N/A 
Ethernet 1/0/1 172.16.1.100 255,.255.255.0 N/A 
R3 (AR1220) GE 0/0/1 172.16.3.200 255.255.255.0 N/A 
Ethernet 1/0/1 172.16.1.200 255.253.255.0 N/A 

PC-1 Ethernet 0/0/1 【7 255.255.255.0 172.16.1.254 

PC-2 Ethernet 0/0/1 172.16.1.2 255.255.255.0 172.16.1.253 


实验 步骤 
1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 


PC>ping 172.16.1.2 
Ping 172.16.1.2: 32 data bytes, Press Ctrl_C to break 
From 172.16.1.2: bytes=32 seq=] ttl=128 time=31 ms 
From 172.16.1.2: bytes=32 seq=2 ttl=128 time=32 ms 
From 172.16.1.2: bytes=32 seq=3 ttl=128 time=31 ms 
From 172.16.1.2: bytes=32 seq=4 ttl=128 time=15 ms 
From 172.16.1.2: bytes=32 seq=5 ttl=128 time=16 ms 
--- 172.16.1.2 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 15/25/32 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
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2. 部 署 OSPF 网 络 

在 公司 的 出 口 网 关 路 由 器 R2、R3 和 外 网 路 由 器 R1 上 配置 OSPF 协议 , 使 用 进程 号 
1， 且 所 有 网 段 均 通告 进 区 域 0 中。 

[Rllospf 1 

[Rl-ospf-l]area 0 

[区 1-osp 人 1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 

[R1-osp 人 1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 


[R2]ospf 1 

[R2-ospf-1l]jarea 0 

[R2-0spf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 
[R2-0spf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 


[R3]ospf 1 
[R3-ospfljarea0 
[R3-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 
[R3-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 
配置 完成 后 ， 在 R1 上 检查 OSPF 邻居 建立 情况 。 
[Rll]display ospf peer brief 

OSPF Process 1 with Router-ID 172.16.2.254 

Peer Statistic Information 


Area Id Interface Neighbor id State 
0.0.0.0 GigabitEthernet0/0/0 172.16.1.100 Full 
0.0.0.0 GigabitEthernet0/0/1 172.16.1.200 Full 


可 以 观察 到 ， 此 时 RI1 已 经 与 R2、R3 成 功 建立 起 了 OSPF 邻居 关系 。 

3. 配置 VRRP 双 备 份 组 

为 了 提高 网 络 的 可 靠 性 ， 公 司 采 用 双 出 口 的 形式 连接 到 外 网 。 但 是 如 果 采 用 普通 的 
VRRP 单 备 份 组 配置 ， 就 会 有 一 台 设 备 处 在 空闲 状态 。 为 了 提高 设备 的 利用 率 ， 网 络 管 
理 员 决定 采用 双 备 份 组 的 配置 ， 使 得 不 同 的 设备 成 为 不 同 备份 组 中 的 Master， 一 起 承担 
网 络 流量 。 

在 R2 和 R3 上 创建 VRRP 虚拟 组 1， 虚拟 IP 为 172.16.1.254， 指 定 R2 的 优先 级 为 
120，R3 的 优先 级 保持 默认 优先 级 不 变 。 

区 2]interface Ethernet 1/0/1 


[R2-Ethernet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 
[R2-Ethernet1/0/1]vrrp vrid 1 priority 120 


[R3]interface Ethernet 1/0/1 
[R3-Ethemet1/0/1]yrrp vrid 1 virtual-ip 172.16.1.254 


配置 完成 后 ， 分 别 查看 R2 和 R3 的 VRRP 信息 。 


[R2]display vrrp brief 

Total:l Master:1 Backup:0 Non-active:0 

VRID State Interface Type Virtual IP 

1 Master Eth1/0/1 Normal 172.16.1,254 
[R3]display vrrp brief 

Total:]l Master:0 Backup:1 Non-active:0 

VRID State Interface Type Virtual IP 


1 Backup Eth1/0/1 Normal 172.16.1,254 
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可 以 观察 到 ，R2 为 组 1 的 Master，R3 为 Backup。 
在 R2 和 R3 上 创建 VRRP 虚拟 组 2， 虚拟 卫 为 172.16.1.253， 指 定 R3 的 优先 级 为 
120，R2 的 优先 级 保持 默认 优先 级 不 变 。 


[R2jinterface Ethernet 1/0/1 
[R2-Ethernet1/0/1]vrrp vrid 2 virtual-ip 172.16.1.253 


[R31]interface Ethemet 1/0/1 
[R3-Ethernetl/0/1]vrrp vrid 2 virtual-ip 172.16.1.253 
[R3-Ethernet1/0/1]vrrp vrid 2 priority 120 


配置 完成 后 ， 分 别 查 看 R2 和 R3 的 VRRP 信息 。 


[R21]display vrrp brief 

Total:2 Master:1 Backup:l Non-active:0 

VRID State Interface Type Virtual IP 

1 Master Eth1/0/1 Normal 172.16.1.254 

妆 Backup Eth1/0/1 Normal 172.16.1.253 
[R3]display vrrp brief 

Total:2 Master:1 Backup:1 Non-active:0 

VRID State Interface Type Virtual IP 

1 Backup Eth1/0/1 Normal 172.16.1.254 
2 Master Eth1/0/1 Normal 172.16.1.253 


可 以 观察 到 ，R3 为 组 2 的 Master，R2 为 Backup。 
在 PC-1 上 设置 网 关 地 址 为 172.16.1.254，PC-2 上 设置 网 关 地 址 为 172.16.1.253， 并 


在 PC-1 上 执行 tracert 172.16.2.254 命令 ，PC-2 上 执行 tracert 172.16.3.254 命令 。 


PC>tracert 172.16.2.254 
traceroute to 172.16.2.254, 8 hops max 
(ICMP), press Ctrl+C to stop 
1 172.16.1.100 47ms 15ms 47ms 
2 172.16.2.254 62ms 63ms 31ms 


PC>tracert 172.16.3.254 
traceroute to 172.16.3.254, 8 hops max 
(ICMP), press Ctrl+C to stop 
1 172.16.1.200 46ms 47ms 31ms 
2 172.16.3.254 63ms 62ms 63 ms 


观察 发 现 PC-1 现在 是 通过 R2 访问 外 网 ，PC-2 现在 是 通过 R3 访问 外 网 ， 实 现 了 网 

4， 验 证 VRRP 抢占 特性 

在 虚拟 组 2 中 R3 为 Master 路 由 器 ,优先 级 为 120。 现在 虚拟 组 2 中 修改 R2 的 抢占 
模式 为 非 抢占 方式 〈 默 认 是 抢占 方式 )， 并 将 优先 级 改 为 200， 即 大 于 R3 的 优先 级 。 


[R2]interface Ethernet 1/0/1 

[R2-Ethernetl/0/1]vrrp vrid 2 preempt-mode disable 

[R2-Ethernet1/0/11]vrrp vrid 2 priority 200 

配置 完成 后 ， 在 R2 上 查看 虚拟 组 2 的 信息 。 
~ [R2-Ethernetl/0/1]display vrrp 

Ethernet1/0/1 | Virtual Router 1 

State : Master 


Ethernet1/0/1 | Virtual Router 2 
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State : Backup 

Virtual 下 : 172.16.1.253 
Master IP : 172.16.1.200 
PriorityRun : 200 
PriorityConfig : 200 
MasterPriority : 120 
Preempt : NO 
TimerRun:l1s 


可 以 观察 到 ,尽管 R2 的 配置 优先 级 大 于 R3, 并 且 最 终 运行 优先 级 也 大 于 R3, 但 是 
由 于 R2 是 非 抢 占 模式 ，R2 不 会 抢占 成 为 Master。 

5. 配置 虚拟 全 拥有 者 

在 虚拟 组 1 中 ，R2 的 配置 优先 级 为 120，R3 的 配置 优先 级 为 默认 的 100，R2 暂时 
是 虚拟 组 1 的 Master 路 由 器 。 现 在 网 络 管理 员 为 了 保证 R2 在 虚拟 组 1 始终 是 Master， 
在 R2 的 E 1/0/1 接口 上 修改 卫 地 址 为 172.16.1.254/24， 这 样 R2 就 成 为 了 该 虚拟 组 的 虚 
拟 IP 地 址 拥有 者 。 


[R2]interface Ethernet 1/0/1 
[R2-Ethernet1/0/1]ip address 172.16.1.254 24 


配置 完成 后 ， 更 改 R3 在 虚拟 组 1 的 配置 优先 级 为 可 配 的 最 大 值 254， 这 样 R3 的 配 
置 优 先 级 就 大 于 现在 R2 的 配置 优先 级 。 

[R3]interface Ethernet 1/0/1 

[R3-Ethernet1/0/1]vrrp vrid 1 priority 254 


配置 完成 后 ， 使 用 display vrrp brief 命令 查看 主 备 状态 。 


[R3]display vrrp brief 

VRID State Interface Type Virtual IP 

1 Backup Eth1/0/1 Normal 172.16.1.254 
2 Master Eth1/0/1 Normal 172.16.1.253 


Total:2 Master:1 Backup:1 Non-active:0 
观察 发 现 R3 无 法 抢占 成 为 虚拟 组 1 的 Master。 
查看 R2 上 的 VRRP 信息 。 

[R21]display vrrp 

Ethernet1/0/1 | Virtual Router 1 

State ; Master 

Virtual IP : 172.16.1.254 

Master 卫 ; 172.16.1.254 

PriorityRun : 255 

PriorityConfig : 120 

MasterPriority : 255 

Preempt:YES Delay Time :0s 


PET ， 


可 以 观察 到 ， 虽 然 R2 在 虚拟 组 1 的 配置 优先 级 为 120， 但 是 在 成 为 了 虚拟 IP 地 址 
拥有 者 之 后 ， 其 运行 优先 级 为 255， 高 于 R3 的 优先 级 254， 所 以 R3 无 法 抢占 成 为 该 组 
的 Master。 这 再 次 验证 了 Master 的 选举 及 抢占 都 是 比较 运行 优先 级 。 


思考 
在 步骤 4 中 ， 如 果 将 R2 配置 成 为 虚拟 组 2 的 虚拟 IP 拥有 者 ， 试 问 此 时 R2 能 否 抢 
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占 成 为 Master? 


9.3 ”配置 VRRP 的 跟踪 接口 及 认证 


原理 概述 


当 VRRP 的 Master 设备 的 上 行 接口 出 现 问 题 , 而 Master 设备 一 直 保持 Active 状态 ， 
那么 就 会 导致 网 络 出 现 中 断 ， 所 以 必须 要 使 得 VRRP 的 运行 状态 和 上 行 接口 能 够 关联 。 
在 配置 了 VRRP 元 余 的 网 络 中 , 为 了 进一步 提高 网 络 可 靠 性 ， 需 要 在 Master 设备 上 配置 
上 行 接口 监视 ， 监 视 连 接 了 外 网 的 出 接口 。 即 当 此 接口 断 掉 时 ， 自 动 减 小 优先 级 一 定 的 
数值 〈 该 数值 由 人 为 配置 )， 使 减 小 后 的 优先 级 小 于 Backup 设备 的 优先 级 ， 这 样 Backup 
设备 就 会 抢占 Master 角色 接替 工作 。 

VRRP 支持 报 文 的 认证 。 默 认 情况 下 ， 设 备 对 要 发 送 和 接收 的 VRRP 报 文 不 进行 任 
何 认证 处 理 ， 认 为 收 到 的 都 是 真实 的 、 合 法 的 VRRP 报 文 。 为 了 使 VRRP 运行 更 加 安全 
和 稳定 ， 可 以 配置 VRRP 的 认证 。VRRP 支持 简单 字符 〈Simple) 认证 方式 和 MD5 认证 
方式 ， 用 户 可 根据 安全 需要 选择 认证 方式 。 


实验 目的 


e 理解 VRRP 监视 接口 的 应 用 场景 
e 掌握 VRRP 监视 接口 的 配置 方法 
e 掌握 VRRP 认证 的 配置 方法 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。 该 公司 使 用 两 台 路 由 器 R2 和 R3 作为 出 口 网 关连 接 到 
外 网 路 由 器 R1， 且 R2 和 R3 运行 VRRP 协议 ， 两 台 路 由 器 在 同一 个 虚拟 组 1，R2 为 
Master 路 由 器 。 一 次 公司 网 络 故障 ， 突 然 所 有 主机 都 不 能 访问 外 网 了 ， 经 检查 发 现 是 
R2 与 外 网 路 由 器 R1 之 间 的 链 路 断 掉 了 ， 而 VRRP 的 Master 角色 并 没有 发 生 切 换 ， 所 
有 流量 仍 发 送 给 R2， 导 致 无 法 访问 外 网 。 现 在 需 对 此 网 络 进 行 优 化 ， 进 一 步 提 高 可 靠 
性 和 安全 性 ， 需 要 在 Master 设备 上 做 VRRP 的 上 行 接口 监视 ， 当 上 行 接口 故障 时 ， 自 
动 降低 VRRP 优先 级 使 Backup 设备 能 抢占 Master 角色 ， 接 替 工 作 ; 当 链 路 恢复 时 ， 
R2 又 能 自动 切换 回 Master 设备 ， 并 且 在 Master 与 Backup 设备 之 间 配 置 VRRP 认证 ， 
提高 安全 性 。 


实验 拓扑 
配置 VRRP 的 接口 监视 及 认证 的 拓扑 如 图 9-3 所 示 。 
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图 9-3 ”配置 VRRP 的 接口 监视 及 认证 拓扑 


实验 编 址 
实验 编 址 见 表 9-3。 
表 9-3 实验 编 址 
设备 | IP 地 址 子 网 掩 码 默认 网 关 

GE 0/0/0 172.16.2.254 255.255.255.0 N/A 
ad GE 0/0/1 172.16.3.254 235.255.235;0 N/A 
RY CARIZI0Y GE 0/0/0 172.16.2.100 255.255.255.0 N/A 
Ethernet 1/0/1 172.16.1.100 235.2955.255:0 N/A 
GE 0/0/1 172.16.3.200 255.255.255.0 N/A 
AR) Ethernet 1/0/1 172.16.1.200 255.255.255.0 N/A 


PC-1 Ethernet 0/0/1 172.16.1.1 255.255.255.0 172.16.1.254 
PC-2 Ethernet 0/0/1 172.16.1.2 255.255.255.0 172.16.1.254 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
[R2]ping 172.16.1.1 
PING 172.16.1.1: 56 data bytes, press CTRL C to break 
Reply from 172.16.1.1: bytes=56 Sequence=l ttl=128 time=80 ms 
Reply from 172.16.1.1: bytes=56 Sequence=2 ttl=128 time=50 ms 
Reply from 172.16.1.1: bytes=56 Sequence=3 ttl=128 time=40 ms 
Reply from 172.16.1.1: bytes=56 Sequence=4 ttl=128 time=30 ms 
Reply from 172.16.1,1: bytes=56 Sequence=5 ttl=128 time=20 ms 
-一 172.16.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 20/44/80 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
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2， 部 署 OSPF 网 络 
在 公司 的 出 口 网 关 路 由 器 R2、R3 和 外 网 路 由 器 R1 上 配置 OSPF 协议 , 使 用 进程 号 
1， 且 所 有 网 段 均 通告 进 区 域 0 中 。 


区 1]ospf 1 

[Rl-ospf-llarea 0 

[R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 
[Rl1-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 


[R21]ospf 1 

[R2-osp 人 ljarea0 

[R2-0spf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 
[R2-0spf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 


[R3]ospf 1 

[R3-ospf1ljarea0 

[R3-0spf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 
区 3-osp 人 1-area-0.0.0.0jnetwork 172.16.3.0 0.0.0.255 


配置 完成 后 ， 在 R1 上 检查 OSPF 邻居 建立 情况 。 


[Rlldisplay ospf peer brief 
OSPF Process 1 with Router-ID 172.16.2.254 
Peer Statistic Information 
Area ld Interface Neighbor id State 
0.0.0.0 GigabitBthernet0/0/0 172.16.1.100 Full 
0.0.0.0 GigabitEthernet0/0/1 172.16.1.200 Full 


可 以 观察 到 ， 此 时 Rl 已 经 与 R2、R3 成 功 建立 起 了 OSPF 邻居 关系 。 

3. VRRP 基本 配置 

为 了 提高 网 络 可 靠 性 , 公司 采用 双 出 口 组 网 , 并 采用 VRRP 协议 实现 网 关 设 备 见 余 。 
在 R2 与 R3 上 创建 同一 个 虚拟 组 ， 虚 拟 了 D 为 1， 虚拟 IP 为 172.16.1.254， 其 中 调整 R2 
优先 级 为 120， 使 R2 成 为 Master，R3 上 的 优先 级 不 变 。 


[R21]interface ethernet1/0/1 
[R2-Ethernet1/0/11vrrp vrid 1 virtual-ip 172.16.1.254 
[R2-Ethernet1/0/1]vrrp vrid 1 priority 120 


[R3]interface ethernet1/0/1 
[R3-Ethermnet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 


配置 完成 后 ， 查 看 R2、R3 上 的 VRRP 信息 。 


[R2]display vrrp 
Ethernet1/0/1 | Virtual Router 1 
State : Master 
Virtual IP : 172.16.1.254 
Master IP : 172.16.1.100 
PriorityRun : 120 
PriorityConfig : 120 
MasterPriority : 120 


weswes 
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[R3]display vrrp 
Ethernet1/0/1 | Virtual Router 1 
State : Backup 
Virtual IP : 172.16.1.254 
Master IP : 172.16.1.100 
PriorityRun : 100 
PriorityConfig : 100 
MasterPriority : 120 


Pre 


可 以 观察 到 R2 现 为 Master，R3 为 Backup。 
此 时 公司 网 络 发 生 故 障 ，R2 与 外 网 路 由 器 RI1 之 间 的 链 路 出 现 问题 ， 无 故 断 掉 。 关 
掉 RI 的 GE 0/0/0 接口 模拟 该 故障 。 


[Rilinterface GigabitEthernet 0/0/0 
[R1-GigabitEthernet0/0/0]shutdown 


配置 完成 后 ， 查 看 主 备 的 切换 情况 。 


[R2]display vrrp 

Ethernet1/0/1 | Virtual Router 1 
State ; Master 

Virtual IP : 172.16.1.254 


观察 到 路 由 器 R2 的 Master 角色 并 没有 发 生 切 换 ， 所 有 流量 仍 发 送 给 R2， 导 致 此 时 
用 户 无 法 访问 外 网 ， 连 通 性 测试 此 处 省 略 。 即 VRRP 无 法 通过 感知 上 行 接口 发 生 故 障 来 
完成 主 备 设备 切换 。 

4. 配置 上 行 接口 监视 

为 了 进一步 提高 网 络 的 可 靠 性 和 安全 性 ， 需 要 在 Master 设备 R2 上 配置 VRRP 的 上 
行 接口 监视 。 当 R2 的 上 行 接口 发 生 故 障 时 ， 将 自动 降低 优先 级 使 得 Backup 设备 能 抢占 
Master 角色 ， 接 替 工 作 ， 将 网 络 中 断 所 造成 的 影响 最 小 化 。 

在 R1 上 恢复 GE 0/0/0 接口 ,并 在 R2 上 配置 上 行 接口 监视 ,监视 上 行 接口 GE 0/0/0， 
当 此 接口 断 掉 时 ， 裁 减 优先 级 50， 使 优先 级 变 为 7 0， 小 于 R3 的 优先 级 100。 

[Rl1linterface GigabitEthernet 0/0/0 

区 1-GigabitEthernet0/0/0]undo shutdown 


[R2]interface Ethernet1/0/1 
[R2-Ethernet1/0/1]vrrp vrid 1 track interface GigabitEthernet 0/0/0 reduced 50 


配置 完成 后 ， 关 闭 R1 的 GE 0/0/0 接口 模拟 故障 发 生 ， 并 使 用 display vrrp 命令 查 
看 主 备 的 切换 情况 。 

[Rll]interface GigabitEthernet 0/0/0 

[RI-GigabitEthernet0/0/0]shutdown 


[R21]display vrrp 

Ethernetl/0 | Virtual Router 1 
State ; Backup 

Virtual IP : 172.16.1.254 
Master IP ; 172.16,1.200 
PriorityRun : 70 
PriorityConfig : 120 
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MasterPriority : 100 

Preempt: YES Delay Time:0s 

TimerRun:1s 

TimerConfig:1s 

Auth type : NONE 

Virtual MAC : 0000-5e00-0101 

Check TTL : YES 

Config type : normal-vrrp 

Backup-forward : disabled 

Track IF : GigabitEthernet0/0/0 Priority reduced : 50 
IF state : DOWN 

Create time : 2013-06-23 18:53:52 UTC-05:13 

Last change time : 2013-06-23 19:21:15 UTC-05:13 


[R3]display vrrp 

Ethernet1/0/1 | Virtual Router 1 
State : Master 

Virtual IP : 172.16.1.254 

Master IP : 172.16.1.200 
PriorityRun : 100 

PriorityConfig : 100 
MasterPriority : 100 

Preempt: YES Delay Time :0s 


可 以 观察 到 , 当 R2 上 监视 指定 接口 的 状态 为 DOWN 时 , VRRP 优先 级 被 裁减 掉 50， 
变 成 70， 小 于 路 由 器 R3 的 优先 级 100， 由 于 R3 的 VRRP 默认 为 抢占 模式 ， 从 而 变 成 了 
Backup， 由 R3 成 为 新 的 Master 并 继续 网 络 的 转发 。 默 认 情 况 下 ， 当 被 监视 的 接口 变 为 
DOWN 时 ，VRRP 优先 级 的 数值 降低 10。 

5. 在 R2 和 R3 上 配置 VRRP 认证 

默认 情况 下 ， 设 备 对 要 发 送 的 VRRP 报 文 不 进行 任何 认证 处 理 ， 收 到 VRRP 报 文 的 
设备 也 不 进行 任何 检测 ， 认 为 收 到 的 都 是 真实 的 、 合 法 的 VRRP 报 文 。 可 以 通过 配置 更 
改 VRRP 的 认证 模式 ， 使 VRRP 对 报 文 进行 验证 ， 从 而 增强 安全 性 。 

在 R2 和 R3 上 对 VRRP 虚拟 组 1 配置 接口 认证 , 认证 方式 为 MD5, 密码 为 huawei。 


[R2-Ethernet1/0/1]vrrp vrid 1 authentication-mode mds huawei 


[R3-Ethernet1/0/1]vrrp vrid 1 authentication-mode md5 huawei 

注意 在 配置 VRRP 报 文 认证 时 ,同一 VRRP 备份 组 的 认证 方式 必须 相同 , 否则 Master 
设备 和 Backup 设备 无 法 协商 成 功 。 

配置 完成 后 ， 使 用 display vrrp 命令 查看 。 


[R21]display vrrp 

Ethernet1/0/1 | Virtual Router 1 

Authtype : MD5 Auth key : %$%$!B5616".AW"Os:SnOIM96GU"%B oS 
Virtual MAG : 0000-5e00-0101 


[R3]display vrrp 
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Ethernetl/O/1 | Virtual Router 1 


nn 


Authtype : MD5 Authkey :%$%$xASELV]Z77V(iDFgUna@6F Bd%$%$ 
Virtual MAC : 0000-5e00-0101 


CE 


在 以 上 显示 信息 中 ， 可 以 观察 到 “Auth Type” 字 段 显示 为 “MD5”“Anuth key” 字 
段 显 示 为 “%$%$xASELV]Z77V(rDFgUna@6FBd%$%$”， 即 VRRP 备份 组 1 的 报 文 认证 
方式 为 MD5 认证 ， 以 密 文 为 “%$%$xASELV]Z77V (rDFgUna@6FBd%$%$” 形 式 显 示 。 
思考 


在 本 实验 中 ， 可 以 通过 配置 监视 上 行 接口 来 提高 VRRP 的 可 靠 性 ， 但 是 监视 上 行 接 
口 仍然 等 同 于 监视 直 连 链 路 ， 如 果 非 直 连 链 路 出 现 故障 ，VRRP 协议 能 否 感知 ? 
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10.1 配置 基本 的 访问 控制 列表 


原理 概述 


访问 控制 列表 ACL (Access Control List) 是 由 permit 或 deny 语句 组 成 的 一 系列 有 
顺序 的 规则 集合 ， 这 些 规 则 根据 数据 包 的 源 地 址 、 目 的 地 址 、 源 端口 、 目 的 端口 等 信息 
来 描述 。ACL 规则 通过 匹配 报 文中 的 信息 对 数据 包 进 行 分 类 ， 路 由 设备 根据 这 些 规则 判 
断 哪 些 数据 包 可 以 通过 ， 哪 些 数据 包 需 要 拒绝 。 

按照 访问 控制 列表 的 用 途 ， 可 以 分 为 基本 的 访问 控制 列表 和 高 级 的 访问 控制 列表 ， 
基本 ACL 可 使 用 报 文 的 源 瑟 地 址 、 时 间 段 信息 来 定义 规则 ， 编 号 范围 为 2000 一 2999。 

一 个 ACL 可 以 由 多 条 “deny/permit” 语 名 组成， 每 一 条 语句 描述 一 条 规则 ， 每 条 规 
则 有 一 个 Rule-ID。Rule-ID 可 以 由 用 户 进行 配置 ， 也 可 以 由 系统 自动 根据 步 长 生成 ， 默 
认 步 长 为 5，Rule-ID 默认 按照 配置 先后 顺序 分 配 0、5、10、15 等 ， 匹 配 顺 序 按照 ACL 
的 Rule-ID 的 顺序 ， 从 小 到 大 进行 匹配 。 


实验 目的 


。 理解 基本 访问 控制 列表 的 应 用 场景 
。 掌握 配置 基本 访问 控制 列表 的 方法 


实验 内 容 


本 实验 模拟 企业 网 络 环 境 , R1 为 分 支 机 构 A 管理 员 所 在 IT 部 门 的 网 关 , R2 为 分 支 
机 构 A 用 户 部 门 的 网 关 ，R3 为 分 支 机 构 A 去 往 总 部 出 口 的 网 关 设 备 ，R4 为 总 部 核心 路 
由 器 设备 。 整 网 运行 OSPF 协议 ， 并 在 区 域 0 内 。 企 业 设 计 通 过 远程 方式 管理 核心 网 路 
由 器 R4， 要 求 只 能 由 了 1 所 连 的 PC 本 实验 使 用 环 回 接口 模拟 ) 访问 R4， 其 他 设备 均 
不 能 访问 。 
实验 拓扑 


配置 基本 的 访问 控制 列表 的 拓扑 如 图 10-1 所 示 。 


A 
= GE 0/0/0 
RI 100.13.0/24 
GE 0/0N0 GE 0/0/2 
三 GE 0/0/0 Ee 


GE 0/0/1 





R3 R4 
10.033.024 


图 10-1 配置 基本 的 访问 控制 列表 拓扑 
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实验 编 址 


实验 编 址 见 表 10-1。 
表 10-1 实验 编 址 


设备 IP 地 址 子 网 掩 码 默认 网 关 

, GE 0/0/0 10.0.13.1 255.255.255.0 N/A 

a Am | GE | 
Loopback0 本 轴 唤 | 255.255.255.255 N/A 
R2 (AR2220) GE 0/0/0 10.0.23.2 255.255.255.0 N/A 
GE 0/0/0 10.0.13.3 255.255.255.0 N/A 
GE 0/0/1 10.0.23.3 2553.255.255.0 N/A 

) | GEool 
SE MR GE 0/0/2 10.0.34.3 255.255.255.0 N/A 
Loopback0 3.33.3 255,255,255.235 N/A 
GE 0/0/0 10.0.34.4 255.255.255.0 N/A 

i A | | 
Loopback0 4.4.4.4 259.253.255.253 N/A 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 


[Rllpirig 10.0.13.3 

PING 10.0.13.3: 56 data bytes, press CTRL C to break 

Reply from 10.0.13.3: bytes=56 Sequence=] tt]=255 time=130 ms 
Reply from 10.0.13.3: bytes=56 Sequence=2 ttl=255 time=60 ms 
Reply from 10.0.13.3: bytes=56 Sequence=3 ttl=255 time=40 ms 
Reply from 10.0.13.3: bytes=56 Sequence=4 ttl=255 time=30 ms 
Reply from 10.0.13.3: bytes=56 Sequence=5 ttl=255 time=10 ms 
-- 10.0.13.3 ping statistics ~-- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 10/54/130 ms 


测试 通过 ， 其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2. 搭建 OSPF 网 络 

在 所 有 路 由 器 上 运行 OSPF 协议 ， 通 告 相应 网 段 至 区 域 0 中。 
[Rllospf 1 

[Rl1-ospf-1]area 0 

[R1-ospf-1-area-0.0.0,0]network 10.0.13.0 0.0.0.255 

[R1I-osp 人 1-area-0.0.0.0jnetwork 1.1.,1.1 0.0.0.0 


[R2]ospf 1 
[R2-ospf-1]area0 
[R2-0spf-1-area-0.0.0.0Jnetwork 10.0.23.0 0.0.0,255 


[R3]ospf 1 

[R3-ospf-l1]area 0 

[R3-0spf-1-area-0.0.0.0Jnetwork 10.0.13.0 0.0.0,255 
[R3-0spf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 
[R3-osp 信 1-area-0.0.0.0]network 10,0.34.0 0.0.0.255 
[R3-0spf-1-area-0.0,0,0]network 3.3.3.3 0.0.0.0 
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[R4lospf 1 

[R4-ospf-1]area 0 

[R4-0spf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 
[Rd4-osp 人 1-area-0.0.0.0]network 4.4.4.4 0.0.0.0 


配置 完成 之 后 ， 在 R1 的 路 由 表 上 查看 OSPF 路 由 信息 。 
<Rl>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 


Destinations : 4 Routes :4 

OSPF routing table status : <Active> 

Destinations : 4 Routes :4 

Destination/Mask Proto Pre Cost Flags ”NextHop Interface 

3.3.3.3/32 OSPF LO D 10.0.13.3 GigabitEthermet0/0/0 

4.4.4.4/32 OSPF LO 2 D 10.0.13.3 GigabitEthermmet0/0/0 

10.0.23.0/24 OSPF 0 D 10.0.13.3 GigabitEthernet0/0/0 

10.0.34.0/24 OSPF 02 D 10.0.13.3 GigabitEthernet0/0/0 

OSPF routing table status : <Inactive> 

Destinations : 0 Routes:0 

路 由 器 Rl 已 经 学 习 到 了 相关 网 段 的 路 由 条 目 ， 测 试 R1 的 环 回 口 与 R4 的 环 回 口 间 
的 连通 性 。 


<Rl>ping -a 1.1.1.1 4.4.4.4 

PING 4.4.4.4: 56 data bytes, press CTRL C to break 

Reply from 4.4.4.4: bytes=56 Sequence=] ttl=254 time=20 ms 
Reply from 4.4.4.4: bytes=56 Sequence=2 ttl=254 time=20 ms 
Reply from 4.4.4.4: bytes=56 Sequence=3 ttl=254 time=10 ms 
Reply from 4.4.4.4: bytes=56 Sequence=4 itl=254 time=20 ms 
Reply from 4.4.4.4: bytes=56 Sequence=5 ttl=254 time=20 ms 
--- 4.4.4.4 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 10/18/20 ms 


通信 正常 ， 其 他 路 由 器 之 间 测 试 省 略 。 
3， 配置 基本 ACL 控制 访问 
在 总 部 核心 路 由 器 R4 上 配置 Telnet 相关 配置 ， 配 置 用 户 密码 为 huawei。 


[R4]user-interface vty 0 4 
[R4-ui-vty0-4]authentication-mode password 
Please configure the login password (maximum length 16):huawei 


配置 完成 后 ， 尝 试 在 IT 部 门 网 关 设备 R1 上 建立 Telnet 连接 。 


<Rl>telnet 4.4.4.4 

Press CTRL |] to quit telnet mode 

Trying 4.4.4.4 ... 

Connected to 4.4.4.4 … 

Login authentication 

Password: 

<R4> 

可 以 观察 到 , R1 可 以 成 功 登 录 R4。 再 尝试 在 普通 员工 部 门 网 关 设 备 R2 上 建立 连接 。 
<R2>telnet 4.4.4.4 


Press CTRL |]to quit telnet mode 
Trying 4.4.4.4 ... 
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Connected to 4.4.4.4 ... 
Login authentication 
Password: 

<R4> 


这 时 发 现 ， 只 要 是 路 由 可 达 的 设备 ， 并 且 拥 有 Telnet 的 密码 ， 都 可 以 成 功 访问 核心 
设备 R4。 这 显然 是 极为 不 安全 的 。 网 络 管理 员 通 过 配置 标准 ACL 来 实现 访问 过 滤 ， 禁 
止 普 通 员工 设备 登录 。 

基本 的 ACL 可 以 针对 数据 包 的 源 人 P 地 址 进行 过 滤 , 在 R4 上 使 用 acl 命令 创建 一 个 
编号 型 ACL， 基 本 ACL 的 范围 是 2000~2999。 

[R4]acl 2000 

接 下 来 在 ACL 视图 中 ， 使 用 rule 命令 配置 ACL 规则 ， 指 定 规则 ID 为 5， 人 允许 数 
据 包 源 地 址 为 1.1.1.1 的 报 文通 过 ， 反 掩 码 为 全 0， 即 精确 匹配 。 

[R4-acl-basic-2000]rule 5 permit source 1.1.1.1 0 

使 用 rule 命令 配置 第 二 条 规则 ， 指 定 规则 ID 为 10， 拒 绝 任意 源 地 址 的 数据 包 

[R4-acl-basic-2000]rule 10 deny source any 

在 上 面 的 ACL 配置 中 ， 第 一 条 规则 的 规则 ID 定义 为 5， 并 不 是 1; 第 二 条 定义 
为 10， 也 不 与 5 连续 ， 这 样 配 置 的 好 处 是 能 够 方便 后 续 的 修改 或 插入 新 的 条 目 。 并 
且 在 配置 的 时 候 也 可 以 不 采用 手工 方式 指定 规则 ID，ACL 会 自动 分 配 规则 ID， 第 一 
条 为 5， 第 二 条 为 10， 第 三 条 为 135， 依 此 类 推 ， 即 默认 步 长 为 5， 该 步 长 参数 也 是 可 
以 修改 的 。 

ACL 配置 完成 后 ， 在 VTY 中 调用 。 使 用 inbound 参数 ， 即 在 R4 的 数据 入 方向 
上 调用 。 

[R4]user-interface vty 0 4 

[R4-ui-vty0-4]acl 2000 inbound 

配置 完成 后 ， 使 用 R1 的 环 回 口 地址 1.1.1.1 测试 访问 4.4.4.4 的 连通 性 。 

<Rl>telnet -a 1.1.1.1 4.4.4.4 

Press CTRL |] to quit telnet mode 

Trying 4.4.4.4 .… 

Connected to 4.4.4.4 ... 

Login authentication 


Password: 

<R4> 

发 现 没有 问题 ， 然 后 尝试 在 R2 上 访问 R4。 
<R2>telnet 4.4.4.4 

Press CTRL |] to quit telnet mode 

Trying 4.4.4.4 ... 

Error: Can't connect to the remote host 

<R2> 


可 以 观察 到 ， 此 时 R2 已 经 无 法 访问 4.4.4.4， 即 上 述 ACL 配置 已 经 生效 。 

4. 基本 ACL 的 语法 规则 

ACL 的 执行 是 有 顺序 性 的 ， 如 果 规 则 ID 小 的 规则 已 经 被 命中 ， 并 且 执 行 了 允许 或 
者 拒绝 的 动作 ， 那 么 后 续 的 规则 就 不 再 继续 匹配 。 

在 R4 上 使 用 display acl all 命令 查看 设备 上 所 有 的 访问 控制 列表 。 


[R4]display acl all 
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Total quantity of nonempty ACL number is 1 
Basic ACL 2000, 2 rules 
Acl's step is 5 
rule 5 permit source 1.1.1.1 0 
rule 10 deny 


以 上 是 目前 ACL 的 所 有 配置 信息 。 根 据 上 一 步骤 中 的 配置 ，R4 中 存在 一 个 基本 
ACL， 有 两 个 规则 rule 5 permit source 1.1.1.1 0 和 rule 10 deny source any， 且 根据 这 两 
个 规则 已 经 将 R2 的 访问 拒绝 。 现 出 现 新 的 需求 ,需要 R3 能 够 使 用 其 环 回 口 3.3.3.3 访 
问 R4。 

首先 尝试 使 用 规则 ID 15 来 添加 允许 3.3.3.3 访问 的 规则 。 


[R4]acl 2000 
区 4-acl-basic-2000]rule 15 permit source 3.3.3.3 0 


配置 完成 后 ， 尝 试 使 用 R3 的 3.3.3.3 访问 R4。 

<R3>teInet -a 3.3.3.3 4.4.4.4 

Press CTRL_ | to quit telnet mode 

Trying 4.4.4.4 .… 

Error: Can't connecttotheremote host 

<R3> 

发 现 无 法 访问 。 按 照 ACL 匹配 顺序 ， 这 是 由 于 规则 为 10 的 条 目 是 拒绝 所 有 行为 ， 
后 续 所 有 的 允许 规则 都 不 会 被 匹配 。 若 要 此 规则 生效 ， 必 须 添加 在 拒绝 所 有 的 规则 人 D 
之 朋 。 

在 R4 上 修改 ACL 2000， 将 规则 ID 修改 为 8。 

[R4]acl 2000 

[R4-acl-basic-2000]undo rule-15 

[R4-acl-basic-2000]rule 8 permit source 3.3.3.3 0 

配置 完成 后 ， 再 次 尝试 使 用 R3 的 环 回 口 访问 R4。 

<R3>telnet -a 3.3.3.3 4.4.4.4 

Press CTRL |to quittelnet mode 

Trying 4.4.4.4 ... 

Connected to 4.4.4.4 ... 

Login authentication 

Password: 


<R4> 
此 时 访问 成 功 ， 证 明 配 置 已 经 生效 。 
思考 
在 本 实验 中 ， 如 果 ACL 不 配置 在 R4 上 ， 那 么 该 如 何 设置 ? 有 什么 优 缺 点 ? 


10.2 ”配置 高 级 的 访问 控制 列表 


原理 概述 


基本 的 ACL 只 能 用 于 匹配 源 IP 地 址 ， 而 在 实际 应 用 当中 往往 需要 针对 数据 包 的 其 
他 参数 进行 匹配 ， 比 如 目的 了 P 地 址 、 协 议 号 、 端 口号 等 ， 所 以 基本 的 ACL 由 于 匹配 的 


第 10 章 ”基础 过 滤 工具 309 


局 限 性 而 无 法 实现 更 多 的 功能 ， 所 以 就 需要 使 用 高 级 的 访问 控制 列表 。 

高 级 的 访问 控制 列表 在 匹配 项 上 做 了 扩展 ， 编 号 范围 为 3000 一 3999， 既 可 使 用 报 文 
的 源 他 地 址 ， 也 可 使 用 目的 地 址 、IP 优先 级 、IP 协议 类 型 、ICMP 类 型 、TCP 源 端 口 / 
目的 端口 、UDP 源 端口 /目的 端口 号 等 信息 来 定义 规则 。 

高 级 访问 控制 列表 可 以 定义 比 基 本 访问 控制 列表 更 准确 、 更 丰富 、 更 灵活 的 规则 ， 
也 因此 得 到 更 加 广泛 的 应 用 。 
实验 目的 

e 理解 高 级 访问 控制 列表 的 应 用 场景 

。 掌握 配置 高 级 访问 控制 列表 的 方法 

e 理解 高 级 访问 控制 列表 与 基本 访问 控制 列表 的 区 别 
实验 内 容 

本 实验 模拟 企业 网 络 环境 。R1 为 分 支 机 构 A 管理 员 所 在 IT 部 门 的 网 关 , R2 为 分 支 
机 构 A 用 户 部 门 的 网 关 ，R3 为 分 支 机 构 A 去 往 总 部 出 口 的 网 关 设 备 ，R4 为 总 部 核心 路 
由 器 设备 。 企 业 原 始 设计 思路 想 要 通过 远程 方式 管理 核心 网 路 由 器 R4， 要 求 由 Rl 所 连 
的 PC 可 以 访问 R4， 其 他 设备 均 不 能 访问 。 同 时 又 要 求 只 能 管理 R4 上 的 4.4.4.4 这 台 服 
务 器 ， 另 一 台 同 样 直 连 R4 的 服务 器 40.40.40.40 不 能 被 管理 (本 实验 PC 使 用 环 回 接口 
模拟 )。 
实验 拓扑 


配置 高 级 的 访问 控制 列表 的 拓扑 如 图 10-2 所 示 。 


ER > 
民 GE 0/0/0 











RI] 


GE 0/0/0 
GE 0/0/1 





GE 0/0/2 是 
GE 0/0/0 


R3 R4 
10:0.34.0/24 


GE 0/0/0 


R2 


图 10-2 配置 高 级 的 访问 控制 列表 拓扑 


实验 编 址 
实验 编 址 见 表 10-2。 
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表 10-2 实验 编 址 


设备 | 接口 | IIP 地 址 | 。 子 网 掩 码 | 默认 网 关 
上 N/A 
NA 
R2 (AR2220) NA 
NA 
N/A 
0 N/A 
N/A 
N/A 
R4 (AR2220) N/A 
N/A 


实验 步骤 
1. 基本 配置 
根据 实验 编 址 表 进 行 相 应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
区 1]ping 10.0.13.3 


PING 10.0.13.3: 56 data bytes, press CTRL_C to break 

Reply from 10.0.13.3: bytes=56 Sequence=1 ttl=255 time=130 ms 
Reply from 10.0.13.3: bytes=56 Sequence=2 ttl=255 time=60 ms 
Reply from 10.0.13.3; bytes=56 Sequence=3 ttl=255 time=40 ms 
Reply from 10.0,13.3: bytes=56 Sequence=4 ttl=255 time=30 ms 
Reply from 10.0.13.3: bytes=56 Sequence=5 tt]=255 time=10 ms 
--- 10.0.13.3 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 10/54/130 ms 


测试 通过 ， 其 余 直 连 网 段 的 连通 性 测试 省 略 。 

2. 搭建 OSPF 网 络 

在 所 有 路 由 器 上 运行 OSPF 协议 ， 通 告 相应 网 段 至 区 域 0 中 。 
[RIll]ospf 1 

[Rl-ospf-l1larea 0 

[Rl-ospf-1-area-0.0.0.0Inetwork 10.0.13.0 0.0.0.255 

[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 





[R21]ospf 1 
[R2-0spf-1larea 0 
[R2-0spf-1-area-0.0.0.0Jnetwork 10.0.23.0 0.0.0.255 


[R3]ospf 1 

[R3-ospf-llarea 0 

[R3-osp 他 1-area-0.0.0.0jnetwork 10.0.13.0 0.0.0.255 
[R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 
[R3-osp 他 1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 
[R3-osp 人 1-area-0.0.0.0]network 3.3.3.3 0.0.0.0 


[R4]Jospf 1 
[R4-ospf-l]area 0 
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[R4-osp 人 1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 

IR4-osp 人 1-area-0.0.0.0jnetwork 4.4.4.4 0.0.0.0 

[R4-ospf-1-area-0.0.0.0]network 40.40.40.40 0.0.0.0 

配置 完成 之 后 ， 在 R1 的 路 由 表 上 查看 OSPF 路 由 信息 。 
<R1l>display ip routing-table protocol ospf 

Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 


Destinations : 5 Routes :5 

OSPF routing table status : <Active> 

Destinations : 5 Routes :5 

Destination/Mask Proto pre ‘Cost Flags NextHop Interface 
3.3.3.3/32 OSPE NO 1 D 10.0.13.3 GigabitEthernet0/0/0 
4.4.4.4/32 OSPF 10 D 10.0.13.3 GigabitEthernet0/0/0 
40.40.40.40/32 QSBPE L100 2 D 10.0.13.3 GigabitEthernet0/0/0 
10.0.23.0/24 QSPE” 110. 2 D 10.0.13,.3 GigabitEthernet0/0/0 
10.0.34.0/24 OSRENNMLO "2 D 10.0.13.3 GigabitEthernet0/0/0 
OSPF routing table status : <Inactive> 

Destinations : 0 Routes:0 


路 由 器 R1 已 经 学 习 到 了 相关 网 段 的 路 由 条 目 。 
3. 配置 Telenet 
在 总 部 核心 路 由 器 R4 上 配置 Telnet 相关 配置 ， 配 置 用 户 密码 为 huawei。 


[R4]user-interface vty 0 4 

[R4-ui-vty0-4]authentication-mode password 

Please configure the login password (maximum length 16):huawei 
配置 完成 后 ， 尝 试 在 R1 上 建立 与 R4 的 环 回 接口 0 的 人 P 地址 的 Telnet 连接 。 
<Rl>telnet —a 1.1.1.1 4.4.4.4 

Press CTRL _] to quit telnet mode 

Trying 4.4.4.4 ... 

Connected to 4.4.4.4 ... 

Login authentication 

Password: 

<R4> 


可 以 观察 到 ，R1 已 经 可 以 成 功 登 录 R4。 
再 尝试 在 R1 上 建立 与 R4 的 环 回 接口 1 的 他 地 址 的 Telnet 连接 。 


<R1>telnet -a 1.1.1.1 40.40.40.40 
Press CTRL_ |] to quit telnet mode 
Trying 40.40.40.40 ,… 

Connected to 40.40.40.40 .… 
Login authentication 

Password: 

<R4> 


这 时 发 现 ， 只 要 是 路 由 可 达 的 设备 ,， 并且 拥有 Telnet 的 密码 ， 都 可 以 成 功 正常 登录 。 

4. 配置 高 级 ACL 控制 访问 

根据 设计 要 求 ，R1 的 环 回 接口 只 能 通过 R4 上 的 4.4.4.4 进行 Telnet 访问 , 但 是 不 能 
通过 40.40.40.40 访问 。 

如 果 要 R1 只 能 通过 访问 R4 的 环 回 口 0 地 址 登录 设备 , 即 同时 匹配 数据 包 的 源 地 址 
和 目的 地 址 实现 过 滤 ， 此 时 通过 标准 ACL 是 无 法 实现 的 ， 因 为 ACL 只 能 通过 匹配 源 地 
址 实现 过 滤 ， 所 以 需要 使 用 到 高 级 ACL。 
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在 R4 上 使 用 acl 命令 创建 一 个 高 级 ACL 3000。 
[R4]acl 3000 
在 高 级 ACL 视图 中 ， 使 用 rule 命令 配置 ACL 规则 ,ip 为 协议 类 型 ， 允 许 源 地 址 为 
1.1.1.1、 目 的 地 址 为 4.4.4.4 的 数据 包 通 过 。 
[R4-acl-adv-3000]rule permitip source 1.1.1.1 0 destination 4.4.4.4 0 
配置 完成 后 ， 查 看 ACL 配置 信息 。 
[Rl-acl-adv-3000]dis acl all 
Total quantity of nonempty ACL number is 1 
Advanced ACL 3000, 1 rule 
Acl's step is 5 
rule 5 permit ip source 1.1.1.1 0 destination 4.4.4.4 0 
可 以 观察 到 ， 在 不 指定 规则 DD 的 情况 下 ， 默 认 步 长 为 5S， 第 一 条 规则 的 规则 ID 即 为 5。 
将 ACL 3000 调用 在 VTY 下 ， 使 用 inbound 参数 ， 即 在 R4 的 数据 入 方向 上 调用 。 
[R4]user-interface vty 0 4 
[R4-ui-vty0-4]acl 3000 inbound 
配置 完成 后 ， 在 R1 上 使 用 环 回 口 地 址 尝试 访问 40.40.40.40。 
<R1l>telnet -a 1.1.1.1 40.40.40.40 
Press CTRL |] to guit telnet mode 
Trying 40.40.40.40 ... 
Error: Can't connect to the remote host 
<RI> 


可 以 观察 到 ， 此 时 过 滤 已 经 实现 ，R1 不 能 使 用 环 回 口 地 址 访问 40.40.40.40。 
此 外 高 级 ACL 还 可 以 实现 对 源 、 目 的 端口 ， 协 议 号 等 信息 的 匹配 ， 功 能 非常 强大 。 


思考 
路 由 器 能 否 通 过 ACL 过 滤 自 身 产生 的 数据 包 ? 


10.3 配置 前 缀 列表 


原理 概述 


前 绥 列 表 即 耻 -Prefix List， 它 可 以 将 与 所 定义 的 前 级 列表 相 匹 配 的 路 由 ， 根 据 定义 
的 匹配 模式 进行 过 滤 。 前 级 列表 中 的 匹配 条 目 由 IP 地 址 和 掩 码 组 成 ，IP 地 址 可 以 是 网 
段 地 址 或 者 主机 地 址 ， 掩 码 长 度 的 配置 范围 为 0~~32， 可 以 进行 精确 匹配 或 者 在 一 定 掩 
码 长 度 范围 内 匹配 , 也 可 以 通过 配置 关键 字 greater-equal 和 less-equal 指定 待 匹配 的 前 绥 
掩 码 长 度 范围 。 

前 缀 列表 能 同时 匹配 前 缀 号 和 前 缀 长 度 ， 主 要 用 于 路 由 的 匹配 和 控制 ， 不 能 用 于 数 
据 包 的 过 滤 。 


实验 目的 


。 理解 前 缀 列表 的 应 用 场景 
。 掌握 前 缀 列表 的 配置 方法 
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e 理解 前 级 列表 与 ACL 的 区 别 
实验 内 容 


本 实验 模拟 公司 网 络 场景 。 公 司 分 部 A 网 络 使 用 11.1.1.0/24 网 段 ， 通 过 路 由 器 R2 
和 骨干 路 由 器 R1 相连 ， 网 络 运 行 RIPv2 协议 。 现 在 公司 新 成 立 一 个 分 部 B， 新 分 部 B 
的 路 由 器 R3 连接 R1 加 入 该 RIPv2 网 络 。 由 于 新 分 部 B 的 网 络 管理 员 不 熟悉 公司 内 网 
IP 地 址 规划 , 在 新 分 部 B 中 使 用 了 11.1.1.0/25 网 段 , 这 样 导致 从 总 部 发 往 分 部 A 的 部 分 
数据 包 在 R1 上 都 会 由 于 路 由 掩 码 最 长 匹配 从 而 错误 地 发 往 分 部 B。 而 整个 新 分 部 B 整 
改 IP 地 址 需要 一 定时 间 ， 公 司 当务之急 是 需要 恢复 总 部 与 分 部 A 的 通信 ， 可 以 通过 在 
R1 上 使 用 前 绥 列 表 过 滤 掉 这 些 错误 的 路 由 。 









实验 拓扑 
配置 前 级 列表 的 拓扑 如 图 10-3 所 示 。 
地 
| | I Ethernet 0/0/1 | GE 0/0/0 we 和 
Ethemet 0/0/1 Ethernet 0/0/2 GE 0/0/1 
PC-1 Sl 
Ti 
TE 
| Ethernet 0/0/1 GE 0/0/OEE 
二 Etheret 0/0/1 Ethernet 0/0/2 
PC-2 $2 R3 
.L110 
新 部 门 
图 10-3 ”配置 前 级 列表 拓扑 
实验 编 址 
实验 编 址 见 表 10-3。 
表 10-3 实验 编 址 









255.255.255.0 


R1 (AR2220) 





R2 (AR2220) 





GE0O00 | 1ILLLII | 2355255255128 
GE 0/0/1 255.255.255.0 


R3 (AR2220) 
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( 续 表 ) 


FM | 子 册 拉 和 
R4 CAR2220) 


Ethernet 0/0/1 lhl 255.255.255.0 
Ethernet 0/0/1 11.1.1.10 255.255.255.128 1:11]l 





实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
<RI>ping 20.1.1.2 
PING 20.1.1.2: 56 data bytes, press CTRL C to break 
Reply from 20.1.1.2: bytes=56 Sequence=] ttl=255 time=60 ms 
Reply from 20.1.1.2: bytes=56 Sequence=2 ttl=255 time=50 ms 
Reply from 20.1.1.2: bytes=56 Sequence=3 ttl=255 time=30 ms 
Reply from 20.1.1.2: bytes=56 Sequence=4 ttl=255 time=50 ms 
Reply from 20.1.1.2: bytes=56 Sequence=5 ttl=255 time=40 ms 
--- 20.1.1.2 ping statistics --- 
$ packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/38/110 ms 
其 他 设备 间 的 连通 性 测试 略 。 
2， 搭建 RIP 网 络 
公司 内 部 网 络 使 用 RIPv2 协议 。 首 先 配 置 R1、R2 和 R4 运行 RIPv2 协议 ， 在 总 部 
路 由 器 R4 上 能 访问 分 部 A 的 PC。 


[RIllrip 1 
[R1-rip-l]version 2 
Rl-rip-llundo summary 
1-rip-1jnetwork 20.0.0.0 
[Rl-rip-l]lnetwork 30.0.0.0 
[Rl-rip-llnetwork 40.0.0.0 


[R2]rip 1 

区 2-rip-1]version 2 
2-rip-1]undo summary 
[R2-rip-1]network 11.0.0.0 
区 2-rip-1jnetwork 20.0.0.0 


[R4]rip 1 

[R4-rip-l]version 2 

[R4-rip-llundo summary 

[R4-rip-l]network 40.0.0.0 

配置 完成 后 ， 查 看 总 部 R4 的 路 由 表 。 
[R4]display ip routing-table 

Route Flags: R - relay, D - download to fib 


一 = 一 -=: 二 
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Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
11.1.1.0/24 RIP 100 2 D 40.1.1.1 GigabitEthernet0/0/0 
20.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthernet0/0/0 
30.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthernet0/0/0 
40.1.1.0/24 Direct 0 0 D 40.1,1.4 GigabitEthernet0/0/0 
40.1.1.4/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 D 127.0.0.1 InLoopBack0 


可 以 观察 到 ，R4 的 路 由 表 中 已 经 获得 了 11.1.1.0/24 的 路 由 ， 测试 R4 与 公司 总 部 A 
中 PC-1 间 的 连通 性 。 
[R4]ping 11.1.1.1 
PING 11.1.1.1: 56 data bytes, press CTRL C to break 
Reply from 11.1.1.1: bytes=56 Sequence=l ttl=126 time=150 ms 
Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=126 time=100 ms 
Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=126 time=100 ms 
Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=126 time=90 ms 
Reply from 10.1.1.1: bytes=56 Sequence=5 ttl=126 time=100 ms 


现在 新 分 部 B 加 入 公司 网 络 ， 在 R3 上 配置 RIPv2 协议 。 


区 3jrip 1 

[R3-rip-1]jversion 2 

[R3-rip-1]undo summary 

[R3-rip-1jnetwork 11.0.0.0 

[R3-rip-1]jnetwork 30.0.0.0 

配置 完成 后 ， 再 一 次 查看 R4 的 路 由 表 。 
[R4]display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
11.1.1.0/24 RIP 100 2 D 40.1.1.1 GigabitEthemet0/0/0 
11.1.1.0/25 RIP 100 2 D 40.1.1.1 GigabitEthemet0/0/0 
20.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthermet0/0/0 
30.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthernet0/0/0 
40.1.1.0/24 Direct 0 0 D 40.1.1.4 GigabitEthemet0/0/0 
40.1.1.4/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 127.0.0.1 JInLoopBack0 


可 以 观察 到 ,此 时 R4 接收 到 了 公司 分 部 A 的 11.1.1.0/24 路 由 条 目 和 新 分 部 
B 的 11.1.1.0/25 路 由 条 目 ， 同 样 R1 也 会 接收 到 这 两 条 路 由 条 目 ， 这 样 会 造成 什 
么 后 果 ? 

根据 路 由 器 转发 数据 的 原理 ， 在 转发 数据 包 时 路 由 器 会 根据 最 长 匹配 的 原则 去 匹配 
路 由 条 目 ， 即 R4 向 分 部 A 的 终端 PC-1 发 送 数据 时 ， 当 数据 包 到 达 R1 后 ， 根 据 包头 的 
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目的 人 P 地 址 与 路 由 表 中 的 路 由 条 目 进行 匹配 , 发 现 11.1.1.0/25 条 目 匹 配 更 精确 ， 这 会 使 
得 数据 包 都 根据 这 条 路 由 条 目 进行 转发 ， 即 将 原本 要 发 往 PC-1 的 数据 包 都 错误 地 发 往 
R3， 造 成 总 部 与 分 部 A 异常 通信 。 
在 R4 上 测试 与 PC-1 间 的 连通 性 。 
<R4>ping 11.1.1.1 
PING 11.1.1.1: 56 data bytes, press CTRL C to break 
Request time out 
Request time out 
Request time out 
Request time out 
Request time out 


可 以 观察 到 此 时 无 法 正常 通信 。 
在 R4 上 使 用 tracert 命令 测试 发 往 PC-1 的 数据 包 所 经 过 的 网 关 。 
<R4>tracert 11.1.1.1 

tracerouteto 11.1.1.1(11.1.1.1), max hops: 30 ,packet length: 40,press CTRL_C to break 


140.1.1.1 70ms 50ms S50ms 
230.1.1.3 60ms 80ms 60ms 


2 


本 * 下 林 

可 以 观察 到 ， 此 时 R4 发 往 分 公司 A 的 PC-1 的 数据 包 确 实 都 已 错误 地 发 往 R3。 

3. 配置 ACL 过 滤 路 由 

由 于 业务 需要 ， 现 公司 急需 恢复 总 部 与 分 部 A 间 的 通信 。 但 是 重新 规划 并 配置 整个 
分 部 B 的 IP 地 址 需要 一 定时 间 ， 此 时 网 络 管理 员 尝 试 使 用 ACL 来 配置 路 由 过 滤 ， 即 在 
R1 上 过 滤 掉 11.1.1.0/25 这 条 路 由 。 

在 R1 上 创建 基本 的 ACL， 拒 绝 11.1.1.0 这 个 目的 网 段 的 路 由 。 

[Rl1lacl number 2000 


[Rl-acl-basic-2000]rle 5 deny source 11.1.1.0 0.0.0.0 

[Rl-acl-basic-2000]rule 10 permit source any 

接 下 来 在 RIP 视图 下 ， 配 置 过 滤 策 略 (filter-policy)， 该 策略 通过 调用 之 前 配置 好 的 
ACL 来 达到 过 滤 路 由 的 目的 ， 并 且 在 Rl 的 RIP 路 由 进程 中 的 接收 方向 应 用 此 路 由 过 渡 
策略 。 

区 1jrip 1 

[Rl1-rip-1]filter-policy 2000 import 

配置 完成 后 ， 查 看 R1 的 路 由 表 。 

<R1>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 9 Routes :9 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
20.1.1.0/24 Direct 0 0 D 20,1.1.1 GigabitEthernet0/0/1 
20.1.1.1/32 Direct 0 0 D 127.0.0,1 GigabitEthernet0/0/1 
30.1.1.0/24 Direct 0 0 D 30.1.1.1 GigabitEthernet0/0/2 
30.1,1.1/32 Direct 0 0 D 127.0.0,1 GigabitEthemet0/0/2 
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40.1.1.0/24 了 Direct 0 0 D 40.1.1.1 GigabitEthernet0/0/0 
40.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0,1 InLoopBack0 
127.0.0.1/32 Direct 0 D 127.0.0.1 InLoopBack0 


观察 发 现 RI 的 路 由 表 中 1LLL024 和 11.1.1.0/25 这 两 条 路 由 都 被 过 滤 。 这 是 因为 
ACL 无 法 实现 对 掩 码 长 度 进行 精确 匹配 ， 而 分 部 A 的 网 络 位 和 分 部 B 的 网 络 位 相同 ， 
都 是 11.1.1.0， 就 会 导致 把 分 部 A 的 路 由 也 同时 过 滤 。 

4. 配置 前 级 列表 过 滤 路 由 

为 了 能 够 精确 匹配 掩 码 长 度 ， 仅 过 滤 掉 11.1.1.0/25 这 条 新 分 部 B 的 路 由 ， 可 以 在 
R1 上 配置 前 级 列表 。 

在 Rl1 上 配置 前 级 列表 ， 同 时 精确 匹配 网 络 位 和 掩 码 长 度 。 


[Rl1l]ip ip-prefix 1 deny 11.1.1.0 25 greater-equal 25 less-equal 25 
[R1lip ip-prefix 1 permit 0.0.0.0 0 less-equal 32 


第 二 条 配置 表示 放行 所 有 其 他 的 路 由 ， 这 是 因为 前 级 列表 也 会 有 一 条 隐 含 的 拒绝 所 
有 的 规则 ， 所 以 如 果 要 放行 其 他 所 有 路 由 的 话 ， 一 定 要 显 式 增加 一 条 允许 所 有 的 规则 。 
而 第 一 条 配置 也 可 以 使 用 下 面 的 方式 简写 。 

[IR1lip ip-prefix 1 deny 11.1.1.0 25 

将 该 前 级 列表 应 用 到 过 滤 和 集 略 下 。 

[Rl-rip-1]filter-policy ip-prefix 1 import 

配置 完成 后 ， 查 看 R1 的 路 由 表 。 

<R1>display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 9 Routes :9 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
11.1.1.0/24 RIP 100 1 D 20.1.1.2 GigabitEthernet0/0/1 
20.1.1.0/24 Direct 0 0 D 20.1.1.1 GigabitEthemet0/0/1 
20.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
30.1.1.0/24 Direct 0 0 D 30.1.1.1 GigabitEthernet0/0/2 
30.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
40.1.1.0/24 Direct 0 0 D 40.1.1.1 GigabitEthernet0/0/0 
40.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 JInLoopBack0 
127.0.0.1/32 Direct 0 127.0.0.1 InLoopBack0 


可 以 观察 到 ， 此 时 Ri 的 路 由 表 中 仅 存在 11.1.1.0/24， 即 分 部 A 的 路 由 条 目 ， 这 样 
就 恢复 了 总 部 与 分 部 A 的 通信 。 测 试 总 部 与 分 部 A 中 PC-1 间 的 连通 性 。 
<R4>ping 11.1.1.1 
PING 11.1.1.1: 56 data bytes, press CTRL C to break 
Reply from 11.1.1.1: bytes=56 Sequence=l ttl=]126 time=120 ms 
Reply from 11.1.1.1: bytes=56 Sequence=2 ttl]=126 time=50 ms 
Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=126 time=130 ms 
Reply from 11,1.1.1; bytes=56 Sequence=4 ttl=126 time=60 ms 
Reply from 11.1.1.1: bytes=56 Sequence=5 ttl=126 time=]110 ms 
=- 1I.1.1.1 ping statistics --- 
5 packet(s) transmitted 
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5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max= 1/38/110 ms 
可 以 观察 到 ， 此 时 通信 恢复 正常 。 
5. 恢复 新 分 部 网 络 
为 了 新 分 部 B 能 正确 接 入 现 有 网 络 中 , 网络 管 理 员 需 要 重新 规划 IP 地 址 , 使 分 部 B 
能 与 公司 总 部 及 分 部 A 通信 。 
规划 分 部 B 网 络 使 用 11.2.2.0/24 网 段 ， 更 改 PC-2 的 IP 地 址 为 11.2.2.1/24，R3 的 
GE0/0/0 接口 PP 地 址 为 11.2.2.3/24。 


[R3jinterface GigabitEthernet 0/0/0 
[R3-GigabitEthermmet0/0/0]ip address 11.2.2.3 
配置 完成 后 ， 查 看 R1 的 路 由 表 。 
<Rl>display ip routing-table : 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 9 Routes :9 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
11.1.1.0/24 RIP 100 1 D 20.1.1.2 GigabitEthermmet0/0/1 
11.2.2.0/24 RIP 100 1 D 30.1.1.3 GigabitEthernet0/0/2 
20.1.1.0/24 Direct 0 0 D 20.1.1.1 GigabitEthemet0/0/1 


nes 


可 以 观察 到 ，R1 的 路 由 表 中 现 有 新 分 部 B 所 在 10.2.2.0/24 网 段 的 路 由 条 目 ， 也 有 
分 部 A 的 路 由 。 使 用 ping 命令 测试 总 部 与 分 部 A、 新 分 部 B 间 的 连通 性 。 
<R4>ping 11.1.1.1 
PING 11.1.1.1: 56 data bytes, press CTRL C to break 
Reply from 11.1.1.1: bytes=56 Sequence=] ttl=126 time=110 ms 
Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=126 time=70 ms 
Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=126 time=70 ms 
‘Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=126 time=80 ms 
Reply from 11.1.1.1: bytes=56 Sequence=5 ttl=126 time=100 ms 
---11.1.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 1/38/110 ms 


<R4>ping 11.2.2.1 
PING 11.2.2.1: 56 data bytes, press CTRL C to break 
Reply from 11.2.2.1: bytes=56 Sequence=] ttl=126 time=120 ms 
Reply from 11.2.2.1: bytes=56 Sequence=2 ttl=126 time=100 ms 
Reply from 11.2.2.1: bytes=56 Sequence=3 ttl=126 time=80 ms 
Reply from 11.2.2.1: bytes=56 Sequence=4 ttl=126 time=80 ms 
Reply from 11.2.2.1: bytes=56 Sequence=5 ttl=126 time=110 ms 
--- 11.2.2.1 ping statistics -~- 
5 packet(s) transmitted 
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5 packet(S) received 
0.00% packet loss 
round-trip min/avg/max = 1/38/110 ms 


可 以 观察 到 ， 通 信 正 常 。 
思考 
如 果 将 前 级 列表 中 已 配置 好 的 语句 顺序 打 乱 会 对 实验 结果 产生 影响 吗 ? 
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11.1 WAN 接 入 配置 


原理 概述 


高 级 数据 链 路 控制 HDLC (High-level Data Link Control) 是 一 种 链 路 层 协 议 ， 运 行 
在 同步 串 行 链 路 之 上 。HDLC 最 大 的 特点 是 不 需要 规定 数据 必须 是 字符 集 ， 对 任何 一 种 
比特 流 ， 均 可 以 实现 透明 的 传输 。 

HDLC 是 由 国际 标准 化 组 织 ISO 制定 的 ， 是 通信 和 领域 曾 广 泛 应 用 的 一 个 数据 链 路 层 
协议 。 但 是 随 着 技术 的 进步 ， 目 前 通信 信道 的 可 靠 性 比 过 去 已 经 有 了 非常 大 的 改进 ， 已 
经 没有 必要 在 数据 链 路 层 使 用 很 复杂 的 协议 〈 包 括 编号 、 检 错 重 传 等 技术 ) 来 实现 数据 
的 可 靠 传输 。 作 为 窄带 通信 协议 的 HDLC, 在 公 网 的 应 用 逐渐 消失 ， 应 用 范围 逐渐 减 小 ， 
只 是 在 部 分 专 网 中 用 来 封装 透 传 业务 数据 。 

PPP (Point-to-Point Protocol) 协议 是 一 种 数据 链 路 层 协议 ， 主 要 用 来 在 全 双 工 的 同 
异步 链 路 上 进行 点 到 点 之 间 的 数据 传输 。PPP 的 设计 初衷 是 为 两 个 对 等 节点 之 间 的 全 流 
量 提 供 一 种 封装 协议 , 它 是 在 串 行 线 人 P 协议 SLIP (Serial Line IP) 的 基础 上 发 展 而 来 的 。 
由 于 SLIP 协议 存在 只 支持 异步 传输 方式 、 无 协商 过 程 、 只 能 承载 全 一 种 网 络 报 文 等 问 
题 ， 在 发 展 过 程 中 ， 逐 步 被 PPP 协议 所 替代 。PPP 与 HDLC 的 主要 区 别 是 : HDLC 是 面 
向 位 的 ， 而 PPP 是 面向 字 节 的 。PPP 是 一 种 多 协议 成 帧 机 制 ， 适 用 于 调制 解 调 器 。 

串 行 链 路 是 指 信息 的 各 位 数据 被 逐 位 按 顺 序 传送 的 线路 ， 适 用 于 远 距 离 通信 ， 但 速 
度 较 慢 ， 与 之 相对 的 是 并 行 链 路 ， 能 够 在 同一 时 刻 传送 一 个 8 bit 数据 。 同 步 和 异步 是 广 
域 网 的 串 行 链 路 的 两 种 传输 模式 ， 同 步 模式 要 求 通信 双方 以 相同 的 时 钟 频率 进行 ， 通 过 
共享 单个 时 钟 或 定时 脉冲 源 保证 发 送 方 和 接收 方 的 准确 同步 ， 效 率 较 高 ， 异 步 模 式 不 要 
求 双方 同步 ， 收 发 方 可 以 采用 各 自 的 时 钟 源 ， 双 方 遵循 异步 的 通信 协议 ， 以 字符 为 数据 
传输 单位 ， 发 送 方 传送 字符 的 时 间 间 隔 不 确定 ， 发 送 效率 比 同步 模式 低 。 


实验 目的 


e 掌握 PPP 的 基本 配置 
。 掌握 HDLC 的 基本 配置 
e 理解 PPP 与 HDLC 的 异同 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。 某 公司 开发 部 门 的 PC-1， 通 过 部 门路 由 器 R2 连接 到 公 
司 出 口 网 关 R1; 市 场 部 门 的 PC-2 直 连 到 公司 出 口 网 关 ; IT 部 门 的 PC-3 通过 部 门路 由 
器 R3 连接 到 公司 出 口 网 关 。R2 与 R1 之 间 链 路 为 串 行 链 路 ， 封 装 PPP 协议 ，R3 与 Rl 
之 间 链 路 为 串 行 链 路 ， 封 装 HDLC 协议 。R2 与 R3 分 别 设置 默认 路 由 指向 R1， 使 各 部 
门 之 间 能 互相 访问 。 


实验 拓扑 
WAN 接 入 配置 的 拓扑 如 图 11-1 所 示 。 
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图 11-1 WAN 接 入 拓扑 


实验 编 址 


实验 编 址 见 表 11-1。 
表 11-1 实验 编 址 


设备 默认 网 关 
N/A 

R1 (AR1220) N/A 
N/A 

192.168.1.2 


R2 (AR1220) - 
Ethernet 2/0/1 172.16.1.254 255.255.255.0 192.168.1.2 


192.168.2.2 
PC-1 172.16.1.254 
PC-2 172.16.2.254 
PC-3 172.16.3.254 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
连通 性 。 
<R1>ping-cl 172.16.2.1 
PING 172.16.2.1: 56 data bytes, press CTRL C to break 
Reply from 172.16.2.1: bytes=56 Sequence=] ttlj=255 time=510 ms 
-一 172.16.2.1 ping statistics --- 
] packet(s) transmitted 
1 packet(s) received 


R3 (AR1220) Serial 1/0/1 192.168.2.1 253.2535.255:0 192.168.2.2 
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0.00% packet loss 
round-trip min/avg/max = 510/510/510 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 配置 PPP 
默认 情况 下 ， 串 行 接口 封装 的 链 路 层 协 议 即 为 PPP， 可 以 直接 在 R1 上 使 用 display 
interface serial 1/0/0 命令 进行 查看 。 


[Rlldisplay interface serial 1/0/0 
Seriall/0/0 current state : UP 
Internet Address is 192.168.1.2/24 
Link layer protocol is PPP 

LCP opened, IPCP opened 


EE 


在 R2 上 配置 默认 路 由 指向 出 口 网 关 R1, 并 在 Rl1 上 配置 目的 网 段 为 PC-1 所 在 网 络 
的 静态 路 由 ， 下 一 跳 路 由 器 为 R2。 


[R2]ip route-static 0.0.0.0 0.0.0.0 192.168.1.2 
[R1]ip route-static 172.16.1.0 255.255.255.0 192.168.1.1 
配置 完成 后 ， 在 PC-1 上 测试 与 Rl 间 的 连通 性 。 
PC>ping 192,168.1.2 
Ping 192.168.1.2; 32 data bytes, Press Ctrl_C to break 
From 192.168.1.2: bytes=32 seq=l ttl=254 time=16 ms 
From 192.168.1.2:bytes=32 seq=2 ttl=254 time=31 ms 
From 192.168.1.2: bytes=32 Seq=3 ttl]=254 time=32 ms 
From 192.168.1.2: bytes=32 seq=4 ttl=254 time=31 ms 
From 192.168.1.2: bytes=32 seq=5 ttl=254 time=31 ms 
--- 192.168.1.2 ping statistics --- 

5 packet(s) transmitted 

$ packet(s) received 
0.00% packet loss 

round-trip min/avg/max = 16/28/32 ms 


可 以 正常 通信 。 
3. 配置 HDLC 
在 Rl 和 R3 的 S 1/0/1 接口 上 分 别 使 用 link-protocol 命令 配置 链 路 层 协议 为 HDLC。 


[Rllinterface Serial 1/0/1 

[R1-Seriall/0/1]link-protocol hdlc 

Warning: The encapsulation protocol of the link will be changed. 
Continue? [Y/N]:y 


[R3]interface Serial 1/0/1 

[R3-Seriall/0/1]link-protocol hdlc 

Warning: The encapsulation protocol of the link will be changed. 
Continue? [Y/N]:y 


在 R3 上 配置 默认 路 由 指向 出 口 网 关 Rl, 并 在 R1 上 配置 目的 网 段 为 PC-3 所 在 网 络 
的 静态 路 由 ， 下 一 跳 路 由 器 为 R3 连接 Rl 的 S 1/0/1 接口 。 


[R3]ip route-static 0.0.0.0 0.0:0,0 serial 1/0/1 


[Rllip route-static 172.16.3.0 255.255.255.0 serial 1/0/1 
配置 完成 后 ， 在 PC-3 上 测试 与 路 由 器 R1 间 的 连通 性 。 


PC>ping 192.168.2.2 
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Ping 192.168.2.2: 32 data bytes, Press Ctrl_C to break 
From 192.168.2.2: bytes=32 seq=] ttl]=254 time=15 ms 
From 192.168.2.2: bytes=32 seq=2 ttl=254 time=46 ms 
From 192.168.2.2: bytes=32 seq=3 ttl=254 time=31 ms 
From 192.168.2.2: bytes=32 seq=4 ttl=254 time=16 ms 
From 192.168.2.2: bytes=32 seq=5 ttl=254 time=31 ms 
--- 192.168.2.2 ping statistics 一 - 

5 packet(s) transmitted 

5 packet(s) received 
0.00% packet loss 

round-trip min/avyg/max = 15/27/46 ms 


可 以 正常 通信 。 
思考 


假设 在 某 一 直 连 链 路 上 ， 一 端 接口 的 链 路 层 协议 为 PPP， 男 一 端 为 HDLC， 此 时 能 
否 正常 通信 ? 


11.2 PPP 的 认证 


原理 概述 


在 网 络 日 益 发 展 的 今天 ， 人 们 对 网 络 安全 性 的 要 求 越 来 越 高 ， 而 PPP 协议 之 所 以 能 
成 为 广域网 中 应 用 较为 广泛 的 协议 ， 原 因 之 一 就 是 它 能 提供 验证 协议 CHAP (Challenge- 
Handshake Authentication Protocol， 挑 战 式 握 手 验证 协议 )、PAP (Password Authentication 
Protocol， 密 码 验 证 协议 )， 更 好 地 保证 了 网 络 安全 性 。 

PAP 为 两 次 握手 验证 ， 口 令 为 明文 ， 验 证 过 程 仅 在 链 路 初始 建立 阶段 进行 。 当 链 路 
建立 阶段 结束 后 ， 用 户 名 和 密码 将 由 被 验证 方 重复 地 在 链 路 上 发 送 给 验证 方 ， 直 到 验证 
通过 或 者 中 止 连接 。PAP 不 是 一 种 安全 的 验证 协议 ， 因 为 口令 是 以 明文 方式 在 链 路 上 发 
送 的 ， 并 且 用 户 名 和 口令 还 会 被 验证 方 不 停 地 在 链 路 上 反复 发 送 ， 导 致 很 容易 被 截获 。 

CHAP 是 三 次 握手 验证 协议 ， 只 在 网 络 上 传输 用 户 名 ， 而 并 不 传输 用 户 密码 ， 因 此 
安全 性 要 比 PAP 高 。CHAP 协议 是 在 链 路 建立 开始 就 完成 的 ， 在 链 路 建立 完成 后 的 任何 
时 间 都 可 以 进行 再 次 验证 。 当 链 路 建立 阶段 完成 后 ， 验 证 方 发 送 一 个 “challenge” 报 文 
给 被 验证 方 ; 被 验证 方 经 过 一 次 Hash 算法 后 ， 给 验证 方 返回 一 个 值 ， 验 证 方 把 自己 经 
过 Hash 算法 生成 的 值 和 被 验证 方 返回 的 值 进行 比较 。 如 果 两 者 匹配 ， 那 么 验证 通过 ， 
否则 验证 不 通过 ， 连 接 被 终止 。 


实验 目的 


。 掌握 配置 PPP PAP 认证 的 方法 
。 掌握 配置 PPP CHAP 认证 的 方法 
。 理解 PPP PAP 认证 与 CHAP 认证 的 区 别 
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实验 内 容 

本 实验 模拟 企业 网 络 环境 。R1 为 分 支 机 构 接 入 端 网 关 设 备 ，PC-1 为 企业 分 支 机 
构 终端 。R2 为 企业 总 部 接 入 终端 网 关 设备 ，PC-2 为 企业 总 部 终端 ，R3 为 企业 总 部 
核心 路 由 器 。 出 于 安全 角度 考虑 ， 网 络 管理 员 在 分 支 机 构 访问 总 部 时 部 署 PPP 认证 ， 
R1 是 被 认证 方 路 由 器 ，R3 是 认证 方 路 由 器 ， 只 有 认证 通过 才能 建立 PPP 连接 进行 正 
常 访问 。 
实验 拓扑 

PPP 的 认证 拓扑 如 图 11-2 所 示 。 






Ethemet 0/0/1 


图 11-2 ”PPP 的 认证 拓扑 


实验 编 址 


实验 编 址 见 表 11-2。 
表 11-2 实验 编 址 


设备 IP 地 址 子 网 撞 码 默认 网 关 
PC-1 Ethernet0/0/1 | 10.0.1.1 | 255.255.255.0 10.0.1.254 
PC-2 Ethernet 0/0/1 10.0.2.1 255.255.255.0 10.0.2.254 

GE 0/0/0 10.0.1.254 255.255.255.0 N/A 

a Gu | 

el Serial 4/0/0 255.255.255.0 NA 

GE 0/0/0 10.0.23.2 255.255.255.0 N/A 

Ro le GE 0/0/1 10.0.2.254 255.255.255.0 N/A 

GE 0/0/0 10.0.23.3 255.255.255.0 N/A 

Sr 10.0.13.3 255.255.255.0 N/A 
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实验 步骤 

1. 基本 配置 

根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连 
通 性 。 


<R1>ping 10.0.1.1 

PING 10.0.1.1: 56 data bytes, press CTRL_C to break 

Reply from 10.0.1.1: bytes=56 Sequence=l ttl=255 time=90 ms 
Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=255 time=50 ms 
Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=255 time=] ms 
Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=255 time=] ms 
Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=255 time=l ms 
--- 10.0.1.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 1/28/90 ms 


测试 通过 ， 其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 OSPF 网 络 
在 每 台 路 由 器 上 配置 OSPF 协议 ， 并 通告 相应 网 段 到 区 域 0 内 。 


[Rllospf 1 

[Rl-ospf-l]jarea 0 

[Rl1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 
[RI1-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255 


[R21]ospf 1 

[R2-ospf-ljarea0 

[R2-osp 人 1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 
[R2-osp 人 1-area-0.0.0.0]network 10.0.2.0 0.0.0,255 


[R3]ospf 1 

[R3-ospf-l]area 0 

[R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 
[R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 
配置 完成 后 测试 总 部 与 分 支 终端 间 的 连通 性 。 
PC>ping 10.0.2.1 

Ping 10.0.2.1: 32 data bytes, Press Ctrl_C to break 
From 10.0.2.1;: bytes=32 seq=] ttl=252 time=78 ms 
From 10.0.2.1: bytes=32 seq=2 ttl=252 time=78 ms 
From 10.0.2,1: bytes=32 seq=3 ttl=252 time=63 ms 
From 10.0.2.1: bytes=32 seq=4 ttl=252 time=31 ms 
From 10.0.2.1: bytes=32 seq=5 ttl=252 time=31 ms 
-一 10.0.2.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/ayg/max = 31/56/78 ms 


可 以 观察 到 ， 通 信和 正常。 
3. 配置 PPP 的 PAP 认证 
现在 为 了 提升 分 支 机 构 与 总 部 通信 时 的 安全 性 ， 在 分 支 网 关 设 备 R1 与 公司 核心 设 
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备 R3 上 部 署 PPP 的 PAP 认证 。R3 作为 认证 路 由 器 ，R1 作为 被 认证 路 由 器 。 

由 于 在 华为 路 由 器 上 ， 广 域 网 串 行 接口 默认 链 路 层 协议 即 为 PPP， 因 此 可 以 直接 配 
置 PPP 认证 。 在 总 部 设备 R3 上 使 用 ppp authentication-mode 命令 设置 本 端的 PPP 协议 
对 对 端 设备 的 认证 方式 为 PAP， 认 证 采用 的 域名 为 huawei。 


[R3]interface Serial 4/0/0 
[R3-Serial4/0/0]ppp authentication-mode pap domain huawei 


接 下 来 配置 认证 路 由 器 R3 的 本 地 认证 信息 。 

执行 aaa 命令 ， 进 入 AAA 视图 。 

[R3]aaa 

使 用 authentication-scheme 命令 创建 认证 方案 huawei 1， 并 进入 认证 方案 视图 。 

[R3-aaalauthentication-scheme huawei 1 

使 用 authentication-mode 命令 配置 认证 模式 为 本 地 认证 。 

[R3-aaa-authen-huawei 1lauthentication-mode local 

使 用 domain 命令 创建 域 huaweiyu， 并 进入 域 视图 。 

[R3-aaaldomain huaweiyu 

使 用 authentication-scheme 命令 配置 域 的 认证 方案 为 huawei_1, 注意 必须 和 创建 的 
认证 方案 一 致 。 

[R3-aaa-domain-huaweiyulauthentication-scheme huawei 1 


退回 到 AAA 视图 ， 使 用 local-user 命令 配置 存储 在 本 地 ， 为 对 端 认证 方 所 使 用 的 用 
户 名 为 R1@huaweiyu， 密 码 为 Huawei。 


[R3-aaallocal-user R1@huaweiyu password cipher Huawei 
[R3-aaallocal-user Rl@huaweiyu service-type ppp 


配置 完成 后 ， 关 闭 R1 与 R3 相连 接口 一 段 时 间 后 再 打开 ， 使 R1 与 R3 间 的 链 路 重 
新 协商 ， 并 检查 链 路 状态 和 连通 性 。 


[R3]interface Serial 4/0/0 
[R3-Serial4/0/0]shutdown 
[R3-Serial4/0/0Jundo shutdown 


<R1>display ip interface brief 
*down: administratiVely down 


EE 


Interface IP Address/Mask Physical Protocol 
GigabitEthernet0/0/0 10.0.1.254/24 up up 
GigabitBthernet0/0/1 Unassigned down down 
GigabitEthemet0/0/2 unassigned down down 
NULL0 unassigned up up(s) 
Serial4/0/0 10.0.13.1/24 up down 
Serial4/0/1 unassigned down down 


<R3>ping 10.0.13.1 

PING 10.0,13,1: 56 data bytes, press CTRL C to break 
Request time out 

Request time out 

Request time out 

Request time out 

Request time out 


see 


可 以 观察 到 ,现在 Rl 与 R3 间 无 法 正常 通信 ， 链 路 物理 状态 正常 ， 但 是 链 路 层 协议 
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状态 不 正常 。 这 是 因为 此 时 PPP 链 路 上 的 PAP 认证 未 通过 , 现在 仅仅 配置 了 被 认证 方 设 
备 R3， 还 需要 在 认证 方 R1 上 配置 相关 PAP 认证 参数 。 

在 Rl 上 的 S 4/0/0 接口 下 ， 使 用 ppp pap local-user 命令 配置 本 端 被 对 端 以 PAP 方 
式 验证 时 本 地 发 送 的 PAP 用 户 名 和 密码 。 


[Rllinterface Serial 4/0/0 
[R1l-Serial4/0/0]ppp pap local-user Rl1(@huaweiyu password cipher Huawei 


配置 完成 后 ， 再 次 查看 链 路 状态 并 测试 连通 性 。 
[Rll]display ip interface brief 
*down: administratively down 


Interface IP Address/Mask Physical & Protocol 
GigabitEthernet0/0/0 10.0.1.254/24 up up 
GigabitEthernet0/0/1 unassigned down down 
GigabitEthernet0/0/2 unassigned down down 
NULL0 unassigned up up(s) 
Serial4/0/0 10.0.13.1/24 up up 
Serial4/0/1 unassigned down down 


<R1>ping 10.0.13.3 

PING 10.0.13.3: 56 data bytes, press CTRL C to break 

Reply from 10.0.13.3: bytes=56 Sequence=] ttl=255 time=70 ms 
Reply from 10.0.13.3;: bytes=56 Sequence=2 ttl=255 time=30 ms 
Reply from 10.0.13.3: bytes=56 Sequence=3 ttl=255 time=50 ms 
Reply from 10.0.13.3: bytes=56 Sequence=4 ttl=255 time=40 ms 
Reply from 10.0.13.3: bytes=56 Sequence=5 tt]=255 time=10 ms 
--- 10.0.13.3 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 10/40/70 ms 

可 以 观察 到 ， 现 在 R1 与 R3 间 的 链 路 层 协议 状态 正常 ， 并 且 可 以 正常 通信 。 
测试 PC-1 与 PC-2 的 连通 性 。 

PC>ping 10.0.2.1 

Ping 10.0.2.1: 32 data bytes, Press Ctrl_C to break 

From 10.0.2.1: bytes=32 seq=1 ttl=125 time=31 ms 

From 10.0.2.1: bytes=32 seq=2 ttl=125 time=63 ms 

From 10.0.2.1: bytes=32 seq=3 ttl=125 time=47 ms 

From 10.0.2.1: bytes=32 seq=4 ttl=125 time=31 ms 

From 10.0.2.1: bytes=32 seq=5 ttl=125 time=31 ms 

—- 10.0.2.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 31/40/63 ms 


总 部 与 分 支 间 的 终端 通信 正常 。 

4， 配置 PPP 的 CHAP 认证 

公司 网 络 管理 员 在 日 常 网 络 维护 中 发 现 ， 分 部 公司 频繁 遭受 攻击 ，PPP 认证 密码 
经 常 被 资 用 ， 遂 对 网 络 状 况 进 行 分 析 。 抓 取 R1 的 $ 4/0/0 数据 包 进 行 分 析 ， 如 图 11-3 
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PPP Password Authentication ProtOco] 
code: Authenticate-Request (0x01) 
Identifier: 0x01 
Length: 23 

sData (19 bytes) 
3Peer ID length: 11 bytes 

Peer-ID (11 bytes) 
引 Password Jengem 6 i 





图 11-3 抓 包 观察 


可 以 观察 到 ， 在 数据 包 中 很 容易 找到 所 配置 的 用 户 名 和 密码 。“Peer-ID” 显 示 内 容 
为 用 户 名 ,“Password” 显 示 内 容 为 密码 ， 可 以 查看 具体 内 容 ， 如 图 11-4 所 示 。 





图 11-4 抓 包 观 察 


很 容易 找到 用 户 名 为 R1@huaweiyu， 密 码 为 Huawei。 由 此 验证 了 使 用 PAP 认证 时 ， 
口令 将 以 明文 方式 在 链 路 上 传送 ， 并 且 由 于 完成 PPP 链 路 建立 后 ， 被 认证 方 会 不 停 地 在 
链 路 上 反复 发 送 用 户 名 和 口令 ， 直 到 身份 认证 过 程 结 束 ， 所 以 不 能 防止 攻击 。 而 使 用 
CHAP 认证 时 , 口令 用 MD5 算法 加 密 后 在 链 路 上 发 送 ， 能 有 效 地 防止 攻击 。 为 了 进 一 
步 提 高 链 路 安全 性 ， 网 络 管理 员 需 要 重新 部 署 PPP 的 CHAP 认证 。 

首先 删除 原 有 的 PAP 认证 配置 ， 域 名 保持 不 变 。 


[R3]interface Serial 4/0/0 
[R3-Serial4/0/0]undo ppp authentication-mode 


[Rllinterface Serial 4/0/0 
[RI-Serial4/0/0]undo ppp pap local-user 
删除 后 ， 在 认证 设备 R3 的 S 4/0/0 接口 下 配置 PPP 的 认证 方式 为 CHAP。 

[R3]interface Serial 4/0/0 

[R3-Serial4/0/0]ppp authentication-mode CHAP 

配置 存储 在 本 地 ， 对 端 认证 方 所 使 用 的 用 户 名 为 R1， 密 码 为 huawei。 

[R3]aaa 

[R3-aaallocal-user R1 password cipher huawei 

[R3-aaallocal-user R1] service-type ppp 

其 余 认 证 方案 和 域 的 配置 保持 不 变 。 

配置 完成 后 ， 关 闭 R1 与 R3 相连 接口 一 段 时 间 后 再 打开 ， 使 链 路 重新 协商 。 查 看 链 
路 状态 ， 并 测试 连通 性 。 

[R3]interface Serial4/0/0 


[R3-Serial4/0/0]shutdown 
[R3-Serial4/0/0]undo shutdown 


<R3>display ip interface brief 
*down: administratively down 


Interface IP Address/Mask Physical Protocol 
GigabitEthernet0/0/0 10.0.23.3/24 up up 

GigabitEthernet0/0/1 unassigned down down 
GigabitEthernet0/0/2 unassigned down down 
NULL0 Unassigned up up(s) 


Serial4/0/0 10.0.13.3/24 up down 
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Serial4/0/1 unassigned down down 


<R3>ping 10.0.13.1 

PING 10.0.13.1: 56 data bytes, press CTRL C to break 
Requesttime out 

Request time out 
Requesttime out 

Request time out 

Request time out 

-一 10.0.13.1 ping statistics --- 
5 packet(s) transmitted 

0 packet(s) received 

100.00% packet loss 


可 以 观察 到 ,目前 Rl 与 R3 间 的 链 路 层 协议 状态 不 正常 ,无 法 正常 通信 。 这 是 由 于 
此 时 被 认证 方 R1 上 还 没有 配置 用 户 名 和 密码 。 
在 Rl 的 S$ 4/0/0 接口 下 配置 CHAP 认证 的 用 户 名 和 密码 。 


[Rllinterface Serial 4/0/0 

[Rl1-Serial4/0/0]ppp chap user R1 

[R1-Serial4/0/0]ppp chap password huawei 

配置 完成 ， 测 试 Rl 与 R3 的 连通 性 。 
<R1>ping 10.0.13.3 

PING 10.0.13.3: 56 data bytes, press CTRL_C to break 

Reply from 10.0.13.3: bytes=56 Sequence=] ttl=255 time=50 ms 
Reply from 10.0.13.3: bytes=56 Sequence=2 ttl=255 time=30 ms 
Reply from 10.0.13.3: bytes=56 Sequence=3 ttl=255 time=40 ms 
Reply from 10.0.13.3: bytes=56 Sequence=4 tt]=255 time=40 ms 
Reply from 10.0.13.3: bytes=56 Sequence=5 ttl=255 time=10 ms 
-一 10.0.13.3 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 10/30/50 ms 

认证 通过 ，R1 与 R3 间 通 信 正 常 ， 再 测试 分 支 PC-1 和 总 部 PC-2 间 的 连通 性 。 
PC>ping 10.0.2.1 

Ping 10.0.2.1: 32 data bytes, Press Ctrl_C to break 

From 10.0.2.1: bytes=32 seq=] ttl=125 time=31 ms 

From 10.0.2.1: bytes=32 seq=2 ttl=125 time=32 ms 

From 10.0.2.1: bytes=32 seq=3 ttl=125 time=47 ms 

From 10.0.2.1: bytes=32 seq=4 ttl=125 time=46 ms 

From 10.0.2.1: bytes=32 seq=5 ttl=125 time=32 ms 

--- 10.0.2.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/ayg/max = 31/37/47 ms 


在 Rl 的 $4/0/0 接口 下 再 次 抓 取 数据 包 查 看 ， 如 图 11-5 所 示 。 


PPP challenge Handshake Authentication Protocol 

Code: Response (2) 

Identifier: 1 

Length: 23 

Data (19 bytes) 
Value Size: 16 
Value; Ifa05959a98fe6e52edf581aa49ebc45 
Name: Rl 


图 11-5 抓 包 观察 
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可 以 观察 到 ， 现 在 数据 包 内 容 已 经 为 加 密 方式 发 送 ， 无 法 被 攻击 者 截获 认证 密码 ， 
安全 性 得 到 了 提升 。 


思考 


当 PPP 链 路 UP 后 ， 在 PPP 链 路 一 端 加 上 认证 配置 而 另 一 端 不 加 ， 为 什么 一 定 要 重 
启 端口 后 认证 才能 生效 ? 


11.3 ” 帧 中 继 基本 配置 


原理 概述 


帧 中 继 〈Frame Relay) 是 一 种 面 癌 连接 的 数据 链 路 层 技 术 ， 主 要 用 在 公共 或 专用 网 
上 的 局 域 网 互联 以 及 广域网 连接 。 

帧 中 继 协议 是 一 种 简化 X.25 的 广域网 协议 , 它 在 控制 层面 上 提供 虚 电 路 的 管理 、 带 
宽 管理 和 防止 阻塞 等 功能 。 在 传送 数据 时 使 用 的 传输 链 路 是 逻辑 连接 , 而 不 是 物理 连接 。 
在 一 个 物理 连接 上 可 以 复 用 多 个 逻辑 连接 ， 实 现 带 宽 的 复 用 和 动态 分 配 ， 帧 透明 传输 和 
错误 检测 ， 但 不 提供 重 传 操作 。 与 传统 的 电路 交换 相 比 ， 帧 中 继 网 络 有 利于 多 用 户 、 多 
速率 数据 的 传输 ， 也 充分 利用 了 网 络 资源 。 

帧 中 继 网 络 两 端的 设备 用 虚 电 路 来 连接 。 每 条 虚 电路 是 用 数据 链 路 连接 标识 符 定义 
的 一 条 帧 中 继 连接 通道 ， 提 供 了 用 户 设备 〈 如 路 由 器 和 主机 等 ) 之 间 进 行 数据 通信 的 能 
力 。 帧 中 继 网 络 的 相关 术语 如 下 : 

加 DTE (Data Terminal Equipment， 数 据 终端 设备 ): 通常 指 用 户 侧 的 主机 或 终端 等 ; 

图 DCE (Data Circuit-terminating Equipment， 数 据 电路 终结 设备 ): 为 用 户 设 备 提供 
接 入 的 设备 ， 属 于 网 络 设备 ， 如 帧 中 继 交 换 机 .; 

国 DLCI (Data Link Connection Identifier， 数 据 链 路 连接 标识 ): 虚 链 路 接口 的 标识 。 
帧 中 继 能 够 在 单一 物理 传输 线路 上 提供 多 条 虚 电路 ， 虚 电路 便 通 过 DLCI 来 区 分 ; 

国 PVC (Permanent Virtual Circuit， 永 久 虚 电路 ): 永久 虚 电 路 是 指 给 用 户 提 供 固定 
的 虚 电 路 ， 该 电路 一 旦 建立 ， 则 链 路 永远 生效 ， 除 非 管理 员 手 动 删除 。PVC 用 于 两 端 之 
间 频 繁 的 、 流 量 稳 定 的 数据 传输 。 

道 向 地 址 解析 协议 (Inverse ARP) 的 主要 功能 是 求解 每 条 虚 电 路 连接 的 对 端 设 备 的 
IP 地 址 。 如 果 知 道 了 某 条 虚 电 路 连接 的 对 端 设备 的 IP 协议 地 址 ， 在 本 地 就 可 以 生成 对 
端 他 地 址 与 DLCI 的 映射 “MAP)， 从 而 避免 手工 配置 地 址 映射 。 


实验 目的 
。 掌 握 帧 中 继 交 换 机 的 配置 
。 掌握 动态 映射 的 配置 


e 掌握 静态 映射 的 配置 
e 掌握 子 接 口 和 DLCI 的 映射 配置 
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实验 内 容 


本 实验 模拟 企业 网 络 场景 。 公 司 A 的 总 部 和 分 部 分 别 设 在 不 同 地 方 ， 总 部 路 由 器 
R1 和 分 部 路 由 器 R2 通过 帧 中 继 网 络 相 连 ， 总 部 与 分 部 之 间 申 请 了 一 条 PVC。 由 于 业务 
的 发 展 ， 公 司 A 与 公司 B 有 了 密切 的 业务 来 往 ， 公 司 B 路 由 器 R3 也 采用 帧 中 继 并 使 用 
动态 映射 方式 与 公司 A 相连 , 即 只 能 与 公司 A 总 部 直接 通信 。 现 需要 采用 帧 中 继 子 接口 
配置 和 静态 路 由 使 R3 能 通过 R1 访问 R2， 实 现 全 网 全 通 。 


实验 拓扑 
帧 中 继 基 本 配置 的 拓扑 如 图 11-6 所 示 。 








公司 A 总 部 公司 A 分 部 
WW FRSW ”其 呆 四 
Serial 1/0/0 ES 1 ‘pve 201 Serial 1/0/0 se 
EE |--@------- se- Ev- -= @ 一 - -MW 
Dy Serial 0/0/1 | Serial 0/0/2 
Rl Fa  ， > 
®@ Serial 0/0/3 
Sarial WO/0.1 EE 
2 
pve 301 : 
1 
1 
申 Serial 1/0/0 
RR 
R3 
公司 B 


图 11-6 帧 中 继 基 本 配置 拓扑 


实验 编 址 


实验 编 址 见 表 11-3。 
表 11-3 实验 编 址 







接 
| Serial 00 | 11L111 |255.255.255.0 | NA | 
| Serial 1/0/0.1 | 22.1.11 |255255.255.0 | NA | 

1 


RI1 (AR1220) 







R2 (AR1220) 
R3 (AR1220) 


Serial 1/0/0 22.113 255.255.255.0 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 。 
在 帧 中 继 交 换 机 上 配置 两 条 PVC，R1 和 R2 一 条 ，R1 和 R3 一条。 
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(1) 在 帧 中 继 交 换 机 上 建立 一 条 PVC， 这 条 PVC 在 S 0/0/1 接口 上 分 配 DLCI 为 102， 
在 S 0/0/2 接口 上 分 配 DLCI 201， 二 者 同属 于 一 条 PVC， 如 图 11-7 所 示 。 











mlx 
Ea ae rent, cA a VE er 
珊 射 表 | 
| Wr ee er Ne | 
Sre: Interface Sre:DLCI Dst:Interface Dst:DLCI | | 
Serial OD/1 102 Serial 0/0/2 201 
二 范围: 0-15 | 
| | 
”| 范围 : 16-1007 | | 
| | 
| | 
=】 范围 : 0-15 | 
“| 范围 : 16-1007 | 
添加 Coss 
确定 隘 消 





a 


11-7 创建 Rl 与 R2 间 的 PVC 


(2) 如 图 11-8 所 示 ， 在 帧 中 继 交 换 机 上 建立 男 一 条 PVC， 这 条 PVC 在 S 0/0/1 接口 
上 分 配 DLCI 为 103， 在 S 0/0/3 接口 上 分 配 DLCI 301， 二 者 同属 于 另 一 条 PVC。 














I ES i EE 
| 
添加 映射 映射 下 
源 | sc Interface sre:DLCI Dst:Interface Dst:DLC! | 
, Serial Of0j1 102 seralon2 201 
接口 : 1 周 苑 国 : 0-15 | serial 0/0/1 103 Serial oj3 301 


ee 103 局 范围: 16-1007 














图 11-8 创建 Rl 与 R3 间 的 PVC 
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2， 静态 与 动态 映射 的 配置 

帧 中 继 接口 在 转发 数据 包 时 必须 查找 帧 中 继 地 址 映射 表 来 确定 下 一 跳 的 DLCI。 地 
址 映射 表 中 存放 对 端 耻 地 址 和 下 一 跳 的 的 DLCI 的 映射 关系 。 只 有 找到 相应 的 映射 表 项 ， 
才能 完成 二 层 帧 中 继 报头 的 封装 ， 这 个 机 制 类 似 于 以 太 网 中 的 ARP 机 制 。 该 地 址 映射 表 
可 以 手动 配置 〈 静 态 )， 也 可 以 使 用 Inverse ARP 协议 来 自动 建立 (动态 )。 

公司 A 总 部 使 用 动态 映射 ， 在 Rl 的 S 1/0/0 接口 配置 链 路 层 协议 为 FR， 并 使 用 位 
inarp 命令 允许 帧 中 继 逆向 地 址 解析 功能 自动 生成 地 址 映射 表 。 

[Rllinterface Serial 1/0/0 

[R1-Seriall/0/0]link-protocol ft 

Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y 

[R1-Seriall/0/0]fr inarp 

注意 ， 默 认 情况 下 ， 串 行 接口 使 用 的 链 路 层 协议 为 PPP 协议 ， 当 试图 改变 接口 默认 
的 封装 方式 的 时 候 ， 路 由 器 会 弹出 一 个 和 警告， 输入“y” 即 可 。 此 外 ， 帧 中 继 接 口 的 逆向 
地 址 解析 功能 默认 是 开启 的 ， 所 以 位 inarp 命令 可 以 不 配置 

公司 A 分 部 由 于 只 需要 与 总 部 通信 和 即 可 ,使 用 静态 映射， 在 R2 的 S 1/0/0 接口 下 配 
置 链 路 层 协议 为 FR， 关 闭 逆向 解析 功能 ， 使 用 他 map ip 命令 手工 配置 Rl 的 IP 地 址 与 
DLCI 的 静态 映射 。 


[R2]interface Serial 1/0/0 

[R2-Seriall/0/0]link-protocol fr 

Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y 
[R2-Seriall/0/0]undo fr inarp 

[R2-Seriall/0/0]fr map ip 10.1.1.1 201 


将 R1 的 IP 地 址 与 R2 本 端 DLCI 201 配置 为 一 条 静态 地 址 映射 ， 即 R2 通过 下 一 跳 
DLCI 201 来 访问 Rl。 

默认 情况 下 ， 帧 中 继 不 支持 广播 或 组 播 数 据 的 转发 。 如 果 需 要 在 帧 中 继 上 运行 一 
动态 路 由 协议 ， 比 如 OSPF 协议 , 需要 在 静态 映射 后 面 添加 broadcast 参数 ， 从 而 使 PVC 
能 够 正常 发 送 来 自 路 由 协议 的 广播 或 组 播 流量 。 

[R2]interface Serial 1/0/0 

[R2-Seriall/0/0]fr map ip 11.1.1.1 201 broadcast 


配置 完成 后 ， 在 Rl1 和 R2 上 使 用 display fr pvc-info 命令 查看 PVC 的 建立 情况 。 


<R1>display fr pyc-info 
PVC statistics for interface Seriall/0/0 (DTE, physical UP) 
DLCI = 102, USAGE = UNUSED (00000000), Seriall/0/0 
create time = 2013/06/28 07:11:45, status = ACTIVE 
InARP = Enable, PVC-GROUP = NONE 
in packets = 0, in bytes = 0 
out packets = 50, out bytes = 1500 


DLCI = 103, USAGE = UNUSED (00000000), Seriall/0/0 
create time = 2013/06/28 07:11:45, status =ACTIVE 
InARP = Enable, PVC-GROUP = NONE 
in packets = 0, in bytes = 0 
out packets = 45, out bytes = 1350 


<R2>display fr pve-info 
PVC statistics for interface Seriall/0/0 (DTE, physical UP) 
DLCI= 20]1, USAGE = LOCAL (00000100), Seriall/0/0 
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create time = 2013/06/28 07:]1:45, status =ACTIVE 
InARP = Disable, PVYC-GROUP = NONE 
in packets = 0, in bytes = 0 
out packets = 50, out bytes = 1500 


可 以 观察 到 ，R1 上 有 两 条 PVC， 而 且 都 为 激活 状态 。R2 上 的 PVC 也 为 激活 状态 。 
使 用 ping 命令 测试 Rl 与 R2 之 间 的 连通 性 。 
<RI>ping 11.1.1.2 
PING 11.1.1.2: 56 data bytes, press CITRL_C to break 
Reply from 11.1.1.2: bytes=56 Sequence=l ttl=255 time=540 ms 
Reply from 11.1.1.2: bytes=56 Sequence=2 ttl=255 time=60 ms 
Reply from 11.1,1.2: bytes=56 Sequence=3 ttl=255 time=70 ms 
Reply from 11.1.1.2: bytes=56 Sequence=4 ttl=255 time=20 ms 
Reply from 11.1.1.2: bytes=56 Sequence=5 tt]=255 time=50 ms 


此 时 Rl 和 R2 已 经 正常 通信 。 

3. 子 接 口 配置 和 静态 路 由 

由 于 业务 需要 ， 公 司 B 需 和 公司 A 互相 通信 。 

公司 B 和 公司 A 总 部 之 间 互 连 卫 网 段 使 用 22.1.1.0/24。 在 R3 的 S$ 1/0/0 接口 配置 
链 路 层 协议 为 FR， 并 保持 默认 开启 的 逆向 地 址 解析 功能 。 

[R3]interface serial 1/0/0 


[R3-Seriall/0/0lip address 22.1.1.3 24 
[R3-Seriall/0/0]link-protocol fr 
配置 完成 后 ， 在 R3 上 使 用 display fr pve-info 命令 查看 PVC 建立 的 情况 。 
<R3>display fr pve-info 
PVC statistics for interface Seriall/0/0 (DTE, physical UP) 
DLCI= 301, USAGE = UNUSED (00000000), Seriall/0/0 
create time = 2013/06/28 08:07:06, status = ACTIVE 
InARP= Enable, PVC-GROUP = NONE 
in packets = 0, in bytes = 0 
out packets = 65, out bytes = 2298 
可 以 观察 到 ， 此 时 R3 的 PVC 已 经 激活 。 
为 实现 与 R3 的 互相 通信 ， 需 要 在 R1 上 创建 子 接口 S 1/0/0.1， 配 置 与 R3 同 网 段 的 


IP 地 址 ， 并 手工 指定 本 地 DLCI 配置 虚 电 路 。 


[Rllinterface Serial 1/0/0.1 
[R1-Seriall/0/0, 1]ip address 22.1.1.1 24 
[Ri-Seriall/0/0.1]fr dlci 103 


默认 情况 下 ， 帧 中 继 交 换 机 分 配 的 DLCI 都 关联 到 用 户 设 备 的 物理 接口 上 ， 而 子 接 
口 关联 的 DLCI 需要 手动 指定 。 
配置 完成 后 ， 测 试 Rl 与 R3 间 能 否 正 常 通信 。 
<Rl>ping 22.1.1.3 
PING 22.1.1.3: 56 data bytes, press CTRL C to break 
Reply from 22.1.1.3; bytes=56 Sequence=l ttl=255 time=50 ms 
Reply from 22.1.1.3; bytes=56 Sequence=2 ttl=255 time=40 ms 
Reply from 22.1.1.3; bytes=56 Sequence=3 ttl=255 time=50 ms 
Reply from 22.1,1.3: bytes=56 Sequence=4 ttl=255 time=40 ms 
Reply from 22.1.1.3: bytes=56 Sequence=5 ttl=255 time=30 ms 
可 以 观察 到 ，R1 和 R3 已 经 正常 通信 。 测 试 R2 与 R3 间 能 否 正常 通信 。 


<R3>ping 11.1.1.2 
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PING 11.1.1.2: 56 data bytes, press CTRL_C to break 
Requesttime out 
Requesttime out 
Requesttime out 
Request time out 
Request time out 


无 法 正常 通信 。 这 是 因为 R2 与 R3 不 在 同一 个 网 段 上 , 需要 有 到 达 对 方 的 路 由 才能 
为 了 使 R2 和 R3 能 够 互相 通信 , 在 R3 上 配置 静态 路 由 ， 目 的 地 址 为 R2， 下 一 跳 为 
R1 的 子 接口 地 址 ; 同样 在 R2 上 也 需要 配置 静态 路 由 ， 目 的 地 址 为 R3， 下 一 跳 为 Rl 的 
S 1/0/0 接口 地 址 。 


[R3]ip route-static 11.1.1.2 32 22.1.1.1 


[R2]ip route-static 22.1.1.3 32 11.1.1.1 
由 此 使 R2 与 R3 之 间 可 以 通过 RI1 来 通信 ， 使 用 ping 命令 检查 它们 之 间 的 连通 性 。 
<R3>ping 11.1.1.2 
PING 11.1.1.2: 56 data bytes, press CTRL _C to break 
Reply from 11.1.1.2: bytes=56 Sequence=l ttl=254 time=110 ms 
Reply from 11.1.1.2: bytes=56 Sequence=2 ttl=254 time=90 ms 
Reply from 11.1.1.2: bytes=56 Sequence=3 ttl=254 time=110 ms 
Reply from 11.1.1.2: bytes=56 Sequence=4 ttl=254 time=90 ms 
Reply from 11.1.1.2: bytes=56 Sequence=5 ttl=254 time=90 ms 


EET 


可 以 观察 到 ，R2 和 R3 间 已 经 能 够 正常 通信 。 使 用 tracert 命令 查看 它们 之 间 的 路 径 。 


<R3>tracert 11.1.1.2 
traceroute to 11.1.1.2(10.1.1.2), max hops: 30 ,packet length: 40,press CTRL_C to break 
1 22.1.1.150ms 40ms 40ms 
211.1.1.2 140 ms 90ms 70ms 


可 以 观察 到 ，R3 去 往 R2 的 流量 经 过 了 R1。 至 此 ， 公 司 A 与 公司 B 所 有 的 设备 间 
都 能 正常 通信 。 


思考 
帧 中 继 中 动态 映射 的 过 程 是 怎样 的 ? 它 和 ARP 机 制 的 区 别 在 哪里 ? 


11.4 ”OSPF 在 帧 中 继 网 络 中 的 配置 


原理 概述 


OSPF 将 网 络 分 为 4 种 不 同 的 类 型 ， 即 Point-to-Point、Broadcast、NBMA 及 
Point-to-MultiPoint， 不 同 网 络 类 型 下 OSPF 的 工作 机 制 不 一 样 。 比 如 ， 在 Broadcast 网 络 
中 ，OSPF 能 够 直接 建立 邻居 邻接 关系 ; 在 NBMA 网 络 中 默认 必须 手工 指定 邻居 等 。 在 
实际 网 络 中 ， 可 通过 配置 接口 的 网 络 类 型 来 强制 改变 默认 的 接口 的 网 络 类 型 。 在 帧 中 继 
的 环境 中 ，OSPF 默认 的 网 络 类 型 是 NBMA。 
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实验 目的 


。 掌握 OSPF 在 帧 中 继 网 络 中 的 配置 方法 
e 理解 Hub-Spoke 组 网 架构 
。 掌握 在 帧 中 继 网 络 中 排除 OSPF 故障 的 方法 


场景 


某 公 司 的 网 络 使 用 OSPF 协议 , 该 公司 由 一 个 总 部 和 两 个 分 支 机 构 组 成 。 RI1 为 总 部 
路 由 器 ，R2 和 R3 分 别 是 两 个 分 支 机 构 的 出 口 路 由 器 。 两 分 支 机 构 都 是 通过 租用 运营 商 
的 帧 中 继 虚 电路 来 与 总 部 通信 的 。 但 为 了 节省 成 本 ， 两 个 分 支 机 构 间 没有 直接 互联 的 虚 
电路 ， 即 典型 的 Hub-Spoke 组 网 架构 ，R1 为 Hub 端 设 备 ，R2、R3 为 Spoke 端 设 备 。 


实验 拓扑 
配置 OSPF 帧 中 继 网 络 的 拓扑 如 图 11-9 所 示 。 


RI 
纺 演 3 
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* Serial 1/0/0 
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Serial 0/0/0 


-ac 





Sarial ON 2 《Senal00a 
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,+ Serial 1/0/0 





R2 
图 11-9 配置 OSPF 帧 中 继 网 络 拓扑 
实验 编 址 
实验 编 址 见 表 11-4。 
表 11-4 实验 编 址 





| Loopback0 | 10.1.11 | 255.255.255255 | NA 
Serial 1/0/0 







R1 (AR2220) 






102/103 






R2 (AR2220) 


R3 (AR2220) 
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实验 步骤 


1. 基本 配置 

在 公司 总 部 路 由 器 R1 和 两 个 分 部 的 路 由 器 R2、R3 上 配置 帧 中 继 接口 , 关闭 帧 中 继 
道 向 地 址 解析 功能 。 

首先 根据 实验 编 址 表 进行 相应 的 基本 IP 地 址 配置 ， 并 配置 帧 中 继 静 态 地 址 映射 。 环 
回 接口 的 掩 码 为 32 位 ， 用 来 模拟 公司 总 部 和 分 部 的 主机 。 注 意 将 R1 设置 为 DR， 调整 
其 DR 优先 级 为 100。 


[Rllinterface Serial 1/0/0 
[R1-Seriall/0/0]link-protoco]l fr 
[R1-Seriall/0/0]ip address 10.0.123.1 24 
[R1-Seriall/0/0]Jundo fr inarp 
[Rl1-Seriall/0/0]fr map ip 10.0.123.2 102 
[R1-Seriall/0/0]fr map ip 10.0.123.3 103 
[R1-Seriall/0/0]ospf dr-priority 100 
[R1-Seriall/0/0]interface loopback 0 
[Rli-LoopBack0l]ip address 10.1.1.1 32 


[R21]interface Serial 1/0/0 
[R2-Seriall/0/0]link-protocol fr 
[R2-Seriall/0/0]ip address 10.0.123.2 24 
[R2-Seriall/0/0]undo fr inarp 
[R2-Seriall/0/0]fr map ip 10.0.123.1 201 
[R2-Seriall/0/0]interface LoopBack 0 
[R2-LoopBack0]ip address 10.1.2.2 32 


[R3]interface Serial 1/0/0 
[R3-Seriall/0/0]link-protocol i 
[R3-Seriall/0/0l]ip address 10.0.123.3 24 
[R3-Seriall/0/0Jundo fr inarp 
[R3-Seriall/0/0]fr map ip 10.0.123.1 301 
[R3-Serial1/0/0]interface LoopBack 0 
3-LoopBack0]ip address 10.1.3.3 32 


配置 完成 后 ， 检 查 帧 中 继 的 虚 电路 状态 和 映射 表 。 


<R1>display fr pve-info 
PVC statistics for interface Seriall/0/0 (DTE, physical UP) 
DLCI= 102, USAGE = LOCAL (00000100), Seriall/0/0 
create time = 2013/05/30 20:35:14, status = ACTIVE 
InARP = Disable,PVC-GROUP = NONE 
in BECN=0, in FECN=0 
in packets = 1, in bytes = 30 
out packets = 2, out bytes = 60 
DLCI= 103, USAGE = LOCAL (00000100), Seriall/0/0 
create time = 2013/05/30 20:35;14, status = ACTIVE 
InARP = Disable,PVC-GROUP = NONE 
in BECN=0, in FECN=0 
in packets = 5, in bytes = 440 
out packets = 7, out bytes = 500 
可 以 观察 到 ，PVC 处 于 ACTIVE 状态 表示 正常 。 
<R1>display fr map-info 
Map Statistics for interface Seriall/0/0 (DTE) 
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DLCI= 102, IP 10.0.123.2, Seriall/0/0 
create time = 2013/05/30 20:35:41, status = ACTIVE 
encapsulation = ietf, vlink = 1 
DLCI= 103, IP 10.0.123.3, Seriall/0/0 
create time = 2013/05/30 20:35:52, status = ACTIVE 
encapsulation = ietf, vlink = 2 
检查 R1 与 R2，R1 与 R3 间 的 网 络 连通 性 。 
<R1>ping 10.0.123.2 
PING 10.0.123.2: 56 data bytes, press CTRL C to break 
Reply from 10.0.123.2: bytes=56 Sequence=l ttl=255 time=60 ms 
Reply from 10.0.123.2: bytes=56 Sequence=2 ttl=255 time=20 ms 
Reply from 10.0.123.2: bytes=56 Sequence=3 ttl=255 time=40 ms 
Reply from 10.0.123.2: bytes=56 Sequence=4 ttl=255 time=30 ms 
Reply from 10.0.123.2: bytes=56 Sequence=5 ttl=255 time=30 ms 
--- 10.0.123.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 20/36/60 ms 


<R1>ping 10.0.123.3 
PING 10.0.123.3: 56 data bytes, press CTRL C to break 
Reply from 10.0.123.3: bytes=56 Sequence=l ttl=255 time=30 ms 
Reply from 10.0.123.3: bytes=56 Sequence=2 ttl=255 time=30 ms 
Reply from 10.0.123.3: bytes=56 Sequence=3 ttl]=255 time=50 ms 
Reply from 10.0.123.3: bytes=56 Sequence=4 ttl=255 time=40 ms 
Reply from 10.0.123.3: bytes=56 Sequence=5 ttl=255 time=40 ms 
--- 10.0.123.3 ping statistics --- 
5 packet(s) transmitted 
Spacket(S) received 
0.00% packet loss 
round-trip min/avg/max = 30/38/50 ms 
此 时 通信 正常 。 
2. 在 帧 中 继 上 搭建 OSPF 网 络 
在 Rl、R2 和 R3 上 配置 OSPF 协议 。 由 于 网 络 拓扑 简单 ， 采 用 OSPF 的 单 区 域 配 置 


即 可 ， 指 定 它们 各 上 自 的 环 回 接口 地 址 作为 Router-ID， 所 有 网 段 都 属于 区 域 0。 


[Rllospf 1 router-id 10.1.1.1 

[Rl-ospf-llarea 0 

[R1-ospf-1-area-0.0.0.0]network 10.0.123.1 0.0.0.255 
[R1-ospf1-area-0.0.0.0]network 10.1.1.1 0.0.0.0 


[R21]ospf 1 router-id 10.1,2.2 

[R2-ospf-1]area0 

[R2-csp 人 1-area-0.0.0.0]network 10,0.123.2 0.0.0.255 
[R2-0spf-1-area-0.0.0.0]network 10.1.2.2 0.0.0.0 


[R3]ospf 1 router-id 10.1.3.3 
[R3-0spf-1larea 0 
[R3-osp 人 1-area-0.0.0.0]network 10.0.123.3 0.0.0.255 
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[R3-osp 人 1-area-0.0.0.0]network 10.1.3.3 0.0.0.0 
配置 完成 后 ， 查 看 OSPF 的 邻居 建立 情况 。 
<Rl>display ospf peer 
OSPF Process 1 with Router-ID 10.1.1.1 
发 现 无 法 正常 建立 邻居 ， 这 是 明显 的 网 络 故 障 ， 现 在 网 络 管理 员 需 要 立刻 进行 分 析 
排除 故障 。 排 障 的 时 候 需 要 注意 遵循 从 底层 逐步 往 上 层 排查 的 顺序 ， 即 先 检 查 物 理 层 线 
缆 是 否 正常 ， 然 后 检查 二 层 链 路 的 连通 性 ， 再 检查 三 层 路 由 协议 的 运行 情况 ， 最 后 检查 
高 层 相 关 应 用 是 否 正常 。 
物理 层 检查 这 里 省 略 ， 首 先 测 试 直 连 线路 的 连通 性 。 
[Rllping 10.0.123.2 
PING 10.0.123.2: 56 data bytes, press CTRL_C to break 
Reply from 10.0.123.2: bytes=56 Sequence=] ttl=255 time=100 ms 
Reply from 10.0.123.2: bytes=56 Sequence=2 ttl=255 time=10 ms 
Reply from 10.0.123.2: bytes=56 Sequence=3 ttl=255 time=10 ms 
Reply from 10.0,123.2: bytes=56 Sequence=4 ttl=255 time=10 ms 
Reply from 10.0.123.2: bytes=56 Sequence=5 ttl=255 time=10 ms 
--- 10.0.123.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/28/100 ms 


直 连 链 路 连通 性 没有 问题 。 再 查看 三 层 路 由 协议 ， 即 相应 接口 否 被 通告 到 OSPF 进 


程 中 。 
[Rl]display ospf interface 
OSPF Process 1 with Router-ID 10.1.1.1 
Interfaces 

Area: 0.0.0.0 (MPLS TE not enabled) 
IP Address Type State Cost Pri DR BDR 
10.0.123.1 NBMA DR 48 100 10,0.123.1 0.0.0.0 
10.1.1.1 P2P P-2-P 0 1 0.0.0.0 0.0.0.0 


观察 到 所 有 接口 已 经 被 通告 进入 OSPF 进程 。 
此 时 可 以 对 RI 的 S$ 1/0/0 接口 进行 抓 包 分 析 , 查看 协议 的 运行 情况 , 如 图 11-10 所 示 。 





彩 

20 

3 10.000000 Q.933 STATUS ENQUIRY[Malformed Pp. 
4 10.000000 Q.933 STATUS 

5 20.000000 Q.933 STATUS ENQUIRY[Malformed Pi 
6 20.000000 Q.933 STATUS 

7 30.000000 Q.933 STATUS ENQUIRYIMalformed Pi 
5 30.000000 Q.933 STATUS 

9 40.000000 Q.933 STATUS ENQUIRY [Malformed Pi 
10 40.000000 Q.933 STATUS 

11 50.000000 Q.933 STATUS ENQUIRY[Malformed Pi 
12 50.000000 Q.933 STATUS 

13 60.000000 Q.933 STATUS ENQUIRYTIMalformed P， 
14 60.000000 Q.933 STATUS 


图 11-10” 抓 包 观 察 


发 现 R1 始终 没有 向 外 发 送 OSPF 数据 包 。 这 是 由 于 OSPF 在 帧 中 继 上 默认 的 网 络 类 
型 为 NBMA， 即 非 广播 多 路 访问 。 这 种 网 络 类 型 的 特点 是 不 支持 广播 和 组 播 的 数据 包 ， 
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而 OSPF 协议 默认 是 采用 组 播 方式 发 送 报 文 ， 所 以 设备 的 OSPF 报 文 无 法 在 帧 中 继 链 路 
上 进行 发 送 ， 导 致 没有 成 功 建立 邻居 关系 。 

这 时 可 以 采用 peer 命令 手工 指定 OSPF 邻居 ， 采 用 单 播 方式 发 送 报 文 。 

[Rllospf 1 

4 10.0.123.2 

[Rl-ospf-l]peer 10.0.123.3 


[R2]ospf 1 
[R2-0spf-1]peer 10.0.123,1 


[R3]ospf1 
[R3-ospf-l]peer 10.0.123.1 
配置 完成 后 ， 再 次 检查 OSPF 的 邻居 关系 状态 。 
<R1>display ospfpeer brief 
OSPF Process 1 with Router-ID 10.0.1.1 
Peer Statistic Information 


Area Id Interface Neighbor id State 
0.0.0.0 Seriall/0/0 10.1.2.2 Full 
0.0.0.0 Seriall/0/0 10.1.3.3 Full 


可 以 观察 到 ， 这 时 Rl 与 R2、R3 都 建立 了 完全 的 邻接 关系 。 再 查看 RI、R2、R3 
的 路 由 表 。 
<R1>display ip routing protocol ospf 


Route Flags; R - relay D - downloadto fb 


Public routing table : OSPF 


Destinations :2 Routes :2 
OSPF routing table status : <Active> 
Destinations : 2 Routes :2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.2.2/32 OSPF 10 48 D 10.0.123.2 Seriall/0/0 
10.1.3.3/32 OSPF 10 48 D 10.0.123.3 Seriall/0/0 
OSPF routing table status : <Inactive> 
Destinations : 0 Routes :0 


<R2>display ip routing protocol ospf 
Route Flags: R - relay, D= download to fib 


Public routing table : OSPF 


Destinations : 2 Routes :2 
OSPF routing table status : <Active> 

Destinations : 2 Routes ;2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.1.1/32 OSPF 10 48 D 10.0.123.1 Seriall/0/0 
10.1.3.3/32 OSPF 10 48 D 10.0.123.3 Seriall/0/0 


OSPF routing table status : <Inactive> 
Destinations :0 Routes :0 
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<R3>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


Public routing table ; OSPF 


Destinations : 2 Routes :2 
OSPF routing table status : <Active> 
Destinations : 2 Routes :2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.1.1/32 OSPF 10 48 D 10.0.123.1 Seriall/0/0 
10.1.2.2/32 OSPF 10 48 D 10.0.123.2 Seriall/0/0 


OSPF routing table status ; <Inactive> 
Destinations : 0 Routes :0 


可 以 观察 到 此 时 的 R1I、R2、R3 路 由 表 中 都 互相 接收 到 了 各 自 环 回 口 所 在 网 段 的 路 
由 条 目 。 测 试 环 回 口 之 间 的 连通 性 。 
<R1l>ping -a 10.1.1.1 10.1.2.2 
PING 10.1.2.2: 56 data bytes, press CITRL_C to break 
Reply from 10.1.2.2: bytes=56 Sequence=] ttl=255 time=10 ms 
Reply from 10.1.2.2: bytes=56 Sequence=2 ttl=255 time=10 ms 
Reply from 10.1.2.2: bytes=56 Sequence=3 ttl=255 time=10 ms 
Reply from 10.1.2.2: bytes=56 Sequence=4 ttl=255 time=20 ms 
Reply from 10.1.2.2: bytes=56 Sequence=5 ttl=255 time=10 ms 
--- 10.1.2.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/12/20 ms 


<R1l>ping -a 10.1.1.1 10.1.3.3 
PING 10.1.3.3: 56 data bytes, press CTRL C to break 
Reply from 10.1.3.3: bytes=56 Sequence=] ttl=255 time=20 ms 
Reply from 10.1.3.3: bytes=56 Sequence=2 ttl=255 time=10 ms 
Reply from 10.1.3.3: bytes=56 Sequence=3 ttl=255 time=10 ms 
Reply from 10.1.3.3: bytes=56 Sequence=4 ttl=255 time=10 ms 
Reply from 10.1.3.3: bytes=56 Sequence=5 tt]l=255 time=10 ms 
~- 10.1.3.3 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/12/20 ms 


此 时 Rl 与 R2, Rl 与 R3 之 间 的 环 回 口 通信 正常 。 测试 R2 与 R3 环 回 口 之 间 的 通信 


<R2>ping -a 10.1.2.2 10.1.3.3 
PING 10.1.3.3: 56 data bytes, press CTRL_C to break 
Requesttime out 
Requesttime out 
Request time out 
Request time out 
Request time out 


Nn 
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发 现 R2 无 法 连通 R3 的 环 回 口 。 此 时 网 络 管理 员 需 要 再 次 进行 排 障 。 物 理 链 路 和 二 
层 链 路 的 连通 性 测试 这 里 省 略 。 首 先 查 看 R2 上 的 OSPF 路 由 条 目 ， 观 察 到 去 往 10.1.3.3 
的 网 段 下 一 跳 地 址 是 10.0.123.3。 

<R2>display ip routing protocol ospf 

Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 


Destinations : 2 Routes :2 
OSPF routing table status : <Active> 

Destinations : 2 Routes :2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.1.1/32 QSPF 10 48 D 10.0.123.1 Seriall/0/0 
10.1.3.3/32 OSPF 10 48 D 10.0.123.3 Seriall/0/0 
OSPF routing table status : <Inactive> 

Destinations : 0 Routes:0 
然后 在 R2 上 查看 帧 中 继 映 射 关 系 。 
<R2>display fr map-info 


Map Statistics for interface Seriall/0/0 (DTE) 
DLCI= 201, IP 10.0.123.1, Seriall/0/0 
create time = 2013/06/23 20:06:07, status = ACTIVE 

encapsulation = ietf, vlink = 1 

可 以 观察 到 ， 此 时 没有 关于 10.0.123.3 的 映射 ， 如 果 R2 要 发 送 数据 包 至 下 一 跳 
10.0.123.3， 但 无 法 知晓 该 从 哪 条 PVC 上 进行 发 送 和 封装 ， 可 以 使 用 PVC 复 用 技术 解决 
此 问题 。 这 时 需 在 R1 的 S 1/0/0 接口 下 添加 一 条 帧 中 继 静 态 映 射 , 通过 Rl 与 R2 的 PVC 
去 往 10.0.123.3。 | 


[R21]interface Serial 1/0/0 
[R2-Seriall/0/0]fr map ip 10.0.123.3 201 


同样 需要 在 R3 上 也 添加 关于 10.0.123.2 的 相关 映射 。 


[R3]interface Serial 1/0/0 
[R3-Seriall/0/0]fr map ip 10.0.123.2 301 
配置 完成 后 ， 再 在 R2 上 查看 帧 中 继 映 射 关 系 。 
<R2>display fr map-info 
Map Statistics for interface Seriall/0/0 (DTE) 
DLCI= 201, IP 10.0.123.1, Seriall/0/0 
create time = 2013/06/23 20:06:07, status = ACTIVE 
encapsulation = ietf, vlink = 1 
DLCI = 201, IP 10.0.123.3, Seriall/0/0 
create time = 2013/06/23 20:06:07, status = ACTIVE 
encapsulation = ietf, vlink = 2 
此 时 可 以 观察 到 已 经 添加 上 了 相应 映射 。 
再 次 测试 R2 到 R3 环 回 口 的 连通 性 。 
[R2]ping -a 10.1.2.2 10.1.3.3 
PING 10.1.3.3: 56 data bytes, press CTRL _C to break 
Reply from 10.1.3,3: bytes=56 Sequence=] ttl=254 time=50 ms 
Reply from 10.1.3.3: bytes=56 Sequence=2 ttl=254 time=20 ms 
Reply from 10.1.3.3: bytes=56 Sequence=3 ttl=254 time=30 ms 
Reply from 10.1,3.3: bytes=56 Sequence=4 ttl=254 time=20 ms 
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Reply from 10.1.3.3: bytes=56 Sequence=5 ttl=254 time=30 ms 
--- 10.1.3.3 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 20/30/50 ms 


此 时 通信 正常 ， 所 有 问题 解决 。 
思考 
在 第 1 步 的 基本 配置 中 将 R1 的 DR 优先 级 设置 成 了 100， 为 什么 要 这 么 做 ? 








第 12 半 
DHCP 








12.1 配置 基于 接口 地 址 池 的 DHCP 
12.2 配置 基于 全 局 地 址 池 的 DHCP 
12.3 配置 DHCP 中 继 
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12.1 配置 基于 接口 地 址 池 的 DHCP 


原理 概述 


随 着 网 络 规模 的 扩大 和 网 络 复杂 程度 的 提高 ， 计 算 机 位 置 变 化 〈 如 便携 机 或 无 
线 网 络 ) 和 计算 机 数量 超过 可 分 配 的 了 了 地 址 的 情况 将 会 经 常 出 现 。DHCP (Dynamic 
Host Configuration Protocol， 动 态 主机 配置 协议 ) 就 是 为 满足 这 些 需 求 而 发 展 起 来 
的 。DHCP 协议 采用 客户 端 /服务 器 (Client/Server) 方式 工作 , DHCP Client 向 DHCP 
Server 动态 地 请 求 配置 信息 ，DHCP Server 根据 策略 返回 相应 的 配置 信息 (如 卫 地 
址 等 )。 

DHCP 客户 端 首 次 登录 网 络 时 ， 主 要 通过 4 个 阶段 与 DHCP 服务 器 建立 联系 。 

(1) 发 现 阶 段 : 即 DHCP 客户 端 寻 找 DHCP 服务 器 的 阶段 。 客 户 端 以 广播 方式 发 送 
DHCP Discover 报 文 ， 只 有 DHCP 服务 器 才 会 进行 响应 。 

(2) 提供 阶段 : 即 DHCP 服务 器 提供 IP 地 址 的 阶段 。DHCP 服务 器 接收 到 客户 端的 
DHCP Discover 报 文 后 ， 从 IP 地 址 池 中 挑选 一 个 尚未 分 配 的 人 P 地 址 分 配给 客户 端 ， 向 
该 客户 端 发 送 包 含 出 租 人 P 地 址 和 其 他 设置 的 DHCP _ Offer 报 文 。 

(3) 选择 阶段 : 即 DHCP 客户 端 选 择 IP 地 址 的 阶段 。 如 果 有 多 台 DHCP 服务 器 向 
该 客户 端 发 来 DHCP_Offer 报 文 ， 客 户 端 只 接受 第 一 个 收 到 的 DHCP Offer 报 文 ， 然 后 
以 广播 方式 向 各 DHCP 服务 器 回应 DHCP_Request 报 文 。 

(4) 确认 阶段 : 即 DHCP 服务 器 确认 所 提供 IP 地 址 的 阶段 。 当 DHCP 服务 器 收 到 
DHCP 客户 端 回答 的 DHCP_Request 报 文 后 , 便 向 客户 端 发 送 包 含 它 所 提供 的 他 地 址 和 
其 他 设置 的 DHCP_ACK 确认 报 文 。 


实验 目的 


e 掌握 DHCP Server 配置 方法 
。 掌握 基于 接口 地 址 池 的 DHCP Server 配置 方法 
。 掌握 配置 DHCP 租 期 /不 参与 自动 分 配 地 址 /DNS 服务 器 地 址 方法 
。 掌握 配置 和 检测 DHCP 客户 端的 方法 
实验 内 容 


本 实验 将 路 由 器 R1 模拟 成 为 公司 的 DHCP Server， 该 公司 市 场 部 和 财务 部 下 的 PC 
通过 DHCP 的 方式 自动 配置 IP 地 址 。 网 络 管理 员 配 置 客户 端 PC 通过 接口 地 址 池 的 方式 
自动 获取 全 地 址 。 


实验 拓扑 
配置 基于 接口 地 址 池 的 DHCP 拓扑 如 图 12-1 所 示 。 
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Ethernet 0/0/1 Ethernet 0/0/1 


ee 


Ethernet 0/0/2 Ethernet 0/0/2 
Ethernet 0/0/1 Ethernet 0/0/1 








图 12-1 配置 基于 接口 地 址 池 的 DHCP 拓扑 





实验 编 址 


实验 编 址 见 表 12-1。 
表 12-1 实验 编 址 


| 让 地 址 ”| ”了 网 十 机 | 











默认 网 关 
N/A 





R1 (AR2220) 


实验 步 又 


1. 基本 配置 

根据 实验 编 址 表 进行 相应 的 基本 IP 地址 配置 ,由 于 PC 是 通过 DHCP 自动 获取 地 址 ， 
暂时 无 法 测试 连通 性 。 交 换 机 为 二 层 设 备 ， 无 需 配置 IP 地 址 。 

[Rllinterface GigabitEthernet 0/0/0 

[RI1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 


[Rl1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1 
[RI1-GigabitEthernet0/0/1]ip address 192.168.2.254 24 


2. 基于 接口 配置 DHCP Server 功能 

在 Rl 上 开启 DHCP 功能 。 

[RI]jdhcp enable 

在 Rl 的 GE 0/0/0 和 GE 0/0/1 接口 上 配置 dhep select interface 命令 ， 开 启 接口 的 
DHCP 服务 功能 ， 指 定 从 接口 地 址 池 分 配 地 址 。 


[Rl]interface GigabitEthernet 0/0/0 
[RI1-GigabitEthernet0/0/0]dhep select interface 
[Rl1-GigabitEthemet0/0/0]interface GigabitEthernet 0/0/1 
[Rl-GigabitEthernet0/0/1]dhep select interface 


接口 地 址 池 可 动态 分 配 IP 地 址 ， 范 围 就 是 接口 的 IP 地 址 所 在 网 段 ， 且 只 在 此 接口 
下 有 效 。 当 DHCP 服务 器 接收 到 DHCP 客户 端的 请 求 报 文 后 ，DHCP 服务 器 将 会 使 用 该 
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接口 的 地 址 网 段 给 客户 端 分 配 地 址 。 

3. 配置 基于 接口 的 DHCP Server 租 期 /DNS 服务 器 地 址 

在 Rl 的 GE 0/0/0 接口 上 使 用 dhep server lease 命令 配置 DHCP 服务 器 接口 地 址 池 
中 卫 地 址 的 租用 有 效 期 限 为 2 天 ，GE 0/0/1 接口 不 修改 ， 使 用 默认 值 1 天， 超过 租 期 后 
该 地 址 将 会 重新 分 配 。 


[RIlinterface GigabitEthernet 0/0/0 
[RI1-GigabitEthernet0/0/0]dhep server lease day 2 


在 GE 0/0/0 接 口上 使 用 dhcp server excluded-ip-address 命 令 配 置 接口 地 址 池 中 不 参 
与 自动 分 配 的 他 地 址 范围 为 192.168.1.1 到 192.168.1.10。 


[Rllinterface GigabitEthernet 0/0/0 
区 1-GigabitEthernet0/0/0]dhcp server excluded-ip-address 192.168.1.1 192.168.1.10 


有 些 地址 需要 分 配给 其 他 服务 ,如 DNS 服务 器 或 HTTP 服务 器 等 需要 手工 静态 配置 
的 卫 地 址 ， 就 不 能 再 动态 分 配给 客户 端 使 用 ,， 可 以 执行 该 命令 配置 地 址 池 中 不 参与 自动 
分 配 的 下 地 址 〈 默 认 该 地 址 池 所 有 地 址 参与 自动 分 配 ， 此 命令 作为 可 选 命令 )。 

当 DHCP 服务 器 收 到 客户 端的 DHCP 请 求 时 ，DPCP 服务 器 将 会 选择 地 址 池 中 空闲 
的 卫 地址 分 配给 客户 端 。 GE 0/0/0 接口 地 址 池 中 192.168.1.1 一 192.168.1.10 不 参与 分 配 ， 
而 GE 0/0/1 接口 没有 配置 该 命令 ， 因 此 可 以 分 配 的 IP 地 址 范围 是 192.168.2.1 一 
192.168.2.253 (不 包括 本 接口 地 址 )。 

在 GE 0/0/1 接口 上 使 用 dhcp server dns-list 命令 指定 接口 地 址 池 下 的 DNS 服务 器 ， 
为 PC-2 自动 分 配 DNS 服务 器 地 址 为 8.8.8.8。 


[R1-GigabitEthernet0/0/1]dhep server dns-list 8.8.8.8 
4. 配置 DHCP Client 


打开 PC-1 的 “基础 配置 ”选项 卡 ， 在 “IPv4 配置 ” 栏 中 选择 “DHCP”， 然 后 单 击 
对 话 框 右 下 和 角 的 “应 用 ”按钮 ， 如 图 12-2 所 示 。 


PC1 
| | ri | 合生 二 后 |， “| oP 发 包工 具 
| 主机 名 : TOT SE ee 
| MAC 地 址 : 54-89-98-CF-40-OE 
| ipw 配置 
| ) 萝 态 徊 DHCP 贺 自 动 兢 取 DNS 服务 器 地 址 
| 防 地 址 : DNS1: 
| 


子 网 入 码 : 。 。 DNS2: 





图 12-2 PC-1 配置 界面 
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单 击 PC-1 的 “命令 行 ” 选 项 卡 ， 在 其 中 输入 “ipconfig” 命 令 查 看 接口 的 他 地 址 ， 
如 图 12-3 所 示 。 


= 站 x 
pc 呈 
基础 甩 置 命令 行 姐 敌 UDP 发 包工 具 

Welcome to use PC Simulator! 
| PC>ipconfig 
| 

Link local IEBv6 address...........: fe80::5689:; 98tf:fecf:400e 

FPVE EG o sre won eo nars satvnee Ss 
| IPV6 Sateway。 oi os ss 前) 店名 
| TPv4 ddreBs ts 5 二 2926842353 

SODNeGb ea 二 和 53 

CACOMAY Rs. inns 


Physical addresss .rs : 54-89-98-CPE-40-0B 


BC> 


图 12-3 查看 PC-i 的 IP 地 址 


通过 观察 发 现 PC-1 已 经 通过 DHCP Server 获取 到 一 个 IPv4 地 址 192.168.1.253， 网 
关 地 址 为 路 由 器 的 接口 地 址 192.168.1.254。 
在 Rl 上 使 用 display ip pool 命令 查看 DHCP 地 址 池 中 的 地 址 分 配 情况 。 


[Rll]display ip pool 
Pool-name : GigabitEthernet0/0/0 
Pool-No :0 
Position : Interface Status : Unlocked 
Gateway-0 : 192.168.1.254 
Mask :255.255.255.0 
VPN instance -- 
Pool-name : GigabitBthemet0/0/1 
Pool-No 司 | 
Position : Interface Status : Unlocked 
Gateway-0 : 192.168.2.254 
Mask :255.255.255.0 
VPN instance 
IP address Statistic 
Total :506 
Used 下 Idle :495 
Expired :0 Conflict :0 Disable :10 


以 上 信息 显示 目前 为 基于 接口 的 地 址 池 ， 由 于 有 两 个 接口 启用 DHCP 功能 ， 所 以 地 址 
池 也 有 两 个 ，Pool-name 分 别 为 GE 0/0/0、GE 0/0/1。 在 DHCP Server 地 址 池 中 ， 网 关 为 
192.168.1.254， 掩 码 为 255.255.255.0，IP 地 址 池 总 共 可 以 分 配 506 个 地 址 (除了 路 由 器 接口 
地 址 )， 已 经 使 用 了 一 个 ， 空 闲 地址 为 495 个 ， 其 中 地 址 池 中 有 10 个 地 址 是 不 参与 分 配 的 。 
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配置 PC-2 时 参考 配置 PC-1 的 方法 ， 选 择 通过 DHCP 配置 地 址 。 
单 击 PC-2 中 的 “命令 行 ” 选 项 卡 , 在 其 中 输入 “ipconfig” 命 令 查 看 接口 的 他 地址 ， 
如 图 12-4 所 示 。 


DC i 
| 基础 了 置 ，‖ 。 命令 行 得 播 “|]| upP 发 包工 具 

| Welcome to use EC Simulator! 

PC>ipcontig 


Link local IPV6 address,........... ; fe80::5689: 98ft:fecf:cSde 
TPvo.addr od sass st ts% .128 
| TBYVE, HETEMAY eo aas ens se ues easl SE 
HN 工 ?V4 address or ro a mrs 192.168,2,253 
Dnet Ms si Bh se Weile sd es di Wk 4 255.255.255.0 
| CT 


| Pc> 





12-4 查看 PC-2 的 IP 地 址 


通过 观察 发 现 PC-2 已 通过 DHCP Server 获取 到 一 个 IPv4 地 址 192.168.2.253， 网关 
地 址 为 路 由 器 的 接口 地 址 192.168.2.254，DNS 服务 器 地 址 为 8.8.8.8。DHCP 地 址 池 中 的 
地 址 分 配 情况 此 处 省 略 。 


思考 


DHCP Server 从 地 址 池 分 配 IP 的 顺序 如 何 ， 是 按 顺 序 还 是 随机 的 ? DHCP Server 如 
何 防范 地 址 冲突 的 问题 ? 


12.2 配置 基于 全 局 地 址 池 的 DHCP 


原理 概述 


基于 接口 地 址 池 的 DHCP 服务 器 ， 连 接 这 个 接口 网 段 的 用 户 都 从 该 接口 地 址 池 中 获 
取 下 地 址 等 配置 信息 ， 由 于 地 址 池 绑 定 在 特定 的 接口 上 ， 可 以 限制 用 户 的 使 用 条 件 ， 
此 在 保障 了 安全 性 的 同时 也 存在 一 定局 限 性 。 当 用 户 从 不 同 接口 接 入 DHCP 服务 器 且 需 
要 从 同一 个 地 址 池 里 获取 人’ 地 址 时 ， 就 需要 配置 基于 全 局 地 址 池 的 DHCP。 

配置 基于 全 局 地 址 池 的 DHCP 服务 器 ， 从 所 有 接口 上 连接 的 用 户 都 可 以 选择 该 地 址 
池 中 的 地 址 ， 也 就 是 说 全 局 地 址 池 是 一 个 公共 地 址 池 。 在 DHCP 服务 器 上 创建 地 址 池 并 
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配置 相关 属性 (包括 地 址 范围 、 地 址 租 期 、 不 参与 自动 分 配 的 IP 地 址 等 )， 再 配置 接口 
工作 在 全 局 地 址 池 模 式 。 路 由 器 支持 工作 在 全 局 地 址 池 模 式 的 接口 有 三 层 接口 及 其 子 接 
口 、 三 层 Ethernet 接口 及 其 子 接口 、 三 层 Eth-Trunk 接口 及 其 子 接口 和 VLANIF 接口 。 


实验 目的 


e 掌握 DHCP Server 配置 方法 

。 掌握 基于 全 局 地 址 池 的 DHCP Server 配置 方法 

。 掌握 配置 DHCP 租 期 /网 关 地 址 /不 参与 自动 分 配 地 址 方法 
。 掌握 配置 和 检测 DHCP 客户 端的 方法 


场景 


本 实验 将 路 由 器 R1 模拟 成 公司 DHCP Server, 配置 全 局 地 址 池 , 该 公司 市 场 部 和 财 
务 部 下 的 PC 通过 DHCP 的 方式 自动 配置 IP 地 址 。 


实验 拓扑 
配置 基于 全 局 地 址 池 的 DHCP 拓扑 如 图 12-5 所 示 。 


DHCP serv 


GE 0/0/0 RR GE 0/0/1 
R1 
Ethernet 0/0/1 Ethernet 0/0/1 
> -As 


SI R= 一 和 S2 








Ethernet 0/0/2 Ethernet 0/0/2 
Ethernet 0/0/1 Ethernet 0/0/] 
PC-1 PC-2 
市 场 部 192.168.L0124 | 财务 部 192.168.2.024 
图 12-5 配置 基于 全 局 地 址 池 的 DHCP 拓扑 
实验 编 址 
实验 编 址 见 表 12-2。 
表 12-2 实验 编 址 












| 搓 ”| 让 地 址 ”| ”子玉 机 | 


R1 (AR2220) 






N/A 
DHCP 获取 
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实验 步骤 

1. 基本 配置 

根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 , 由 于 PC 是 通过 DHCP 自动 获取 地 址 ， 
暂时 无 法 测试 连通 性 。 交 换 机 为 二 层 设 备 ， 无 需 配 置 IP 地址。 


[Rllinterface GigabitEthernet 0/0/0 
[R1-GigabitEthernet0/0/0lip address 192.168.1.254 24 
[R1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]ip address 192.168.2.254 24 


2， 配置 基于 全 局 地 址 池 的 DHCP Server 

在 Rl 上 开启 DHCP 功能 。 

[Rlldhep enable 

使 用 ip pool 命令 创建 一 个 全 局 地 址 池 ， 地 址 池 名 称 为 huaweil。 默 认 情况 下 ， 设 备 
上 没有 创建 任何 全 局 地 址 池 。 

[R1]ip pool huaweil 

使 用 network 命令 配置 全 局 地 址 池 huaweil 可 动态 分 配 的 网 段 范围 为 192.168.1.0， 
如 果 不 指定 掩 码 , 则 默认 使 用 自然 掩 码 , 即 24 位 掩 码 , 该 网 段 必 须 与 路 由 器 接口 GE 0/0/0 
的 卫 地 址 为 同一 网 段 。 

[Rl-ip-pool-huaweil network 192.168.1.0 

使 用 lease day 命令 配置 DHCP 全 局 地 址 池 下 的 地 址 租 期 。 默 认 情 况 下 ，IP 地 址 租 
期 为 1 天 ， 对 于 不 同 的 地 址 池 ，DHCP 服务 器 可 以 指定 不 同 的 地 址 租用 期 限 ， 但 是 同一 
地 址 池 中 的 地 址 具有 相同 的 租 期 。 

[R1-ip-pool-huaweiljlease day 2 

配置 DHCP 客户 端的 出 口 网 关 地 址 。 

[R1-ip-pool-huaweilgateway-list 192.168.1.254 

配置 地 址 池 中 192.168.1.250 到 192.168.1.253 这 些 地 址 不 参与 自动 分 配 。 

[R1-ip-pool-huaweillexcluded-ip-address 192.168.1.250 192.168.1.253 

由 于 地 址 192.168.1.250 到 192.168.1.253 不 参与 自动 分 配 , 而 网 关 地 址 也 不 参与 自动 
分 配 ， 因 此 DHCP 服务 器 将 会 从 地 址 池 中 由 192.168.1.249 开始 往 前 分 配 。 

配置 DNS 服务 器 地 址 。 

[Rl1-ip-pool-huaweilldns-list 8.8.8.8 

开启 接口 的 DHCP 功能 。 使 用 该 命令 配置 设备 指定 接口 采用 全 局 地 址 池 为 客户 端 分 
配 四 地 址 。 


[RIllinterface GigabitEthernet 0/0/0 
[R1-GigabitEthernet0/0/0]dhep select global 


路 由 器 需要 为 两 个 不 同 部 门 分 配 IP 地 址 ， 即 需要 两 个 全 局 地 址 池 。 为 财务 部 配置 
的 全 局 地 址 池 名 称 为 huawei2, IP 网 段 为 192.168.2.0， 网 关 地 址 为 192.168.2.254, DNS 
服务 器 地 址 为 8.8.8.8。 配 置 完 成 后 在 GE 0/0/1 接口 下 启用 全 局 地 址 池 的 DHCP 服务 器 
模式 。 


[Rllip pool huawei2 
1-ip-pool-huawei2]network 192.168.2.0 
[R1l-ip-pool-huawei2jlease day 2 
[R1-ip-pool-huawei2]gateway-list 192.168.2.254 
[IR1-ip-pool-huawei2]dns-list 8.8.8.8 
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Rl-ip-pool-huawei2]interface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]dhep select global 


配置 完成 后 ， 查 看 IP 地 址 池 信 息 。 


[Rlldisplay ip pool 

Pool-name :huaweil 
Pool-No :0 
Position :Local Status : Unlocked 
Gateway-0 : 192.168.1.254 
Mask :255.255.255.0 
VPN instance :-- 

Pool-name : huawei2 

Pool-No | 
Position :Local Status : Unlocked 
Gateway-0 : 192.168.2.254 
Mask :255.255.255.0 
VPN instance :-- 
IP address Statistic 

Total :506 

Used :0 Idle :502 

Expired :0 Conflict :0 Disable :4 


以 上 信息 显示 有 两 个 地 址 池 ， 其 中 一 个 地 址 池 为 huaweil， 另 一 个 地 址 池 为 
huawei2， 地 址 池 的 总 数 为 506 个 ， 使 用 了 0 个， 空闲 502 个 ， 有 4 个 地 址 不 参与 
分 配 。 

3. 配置 DHCP Client 

打开 PC-1 的 “基础 配置 ”选项 卡 ， 在 “IPV4 配置 ” 栏 中 选择 “DHCP”， 然 后 单 击 
对 话 框 右 下 角 的 “应 用 ”按钮 ， 如 图 12-6 所 示 。 


PC Ga 


芭 珊 理 轩 命 信行 组 如 。 “| UDP 发包 工具 | 


主机 名 : 
MAC 地 址 : 


IPvé 了 网关: 


PEI 


54-89-98-CF-40-0E 


9 DHCP 





习 自 动 获取 DNS 服务 器 地 址 
DNS1: 


DNS2: 


图 12-6 PC-1 配置 界面 
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单 击 PC-1 的 “命令 行 ” 选 项 卡 ， 在 其 中 输入 “ipconfig” 命 令 查 看 接口 的 耳 地 址 ， 
如 图 12-7 所 示 。 


PC 各 


| 
| 
| 
| 
| 
| 
| 


基础 凤 置 命令 行 组 揪 UDP 发 包工 具 | 
PC> =| 


PCc>ipcontfig 


Link local IBv6 address,,..........; feS80::5689: 98ff: fecf:A400e 
人 人 

DEVO GOEONEY. 3 

到 RAR ed pas du dav eg L216 .289 

ODNR 才 CE rs a aa a ss 05.255.255.0 

Sate sss sos : 192.168.1.254 

Physicel eddress.,.................: 54-89~98-CF~40-0E 

DN ot tos re 6 00re uid ioe aS 业 v 全 省。 让 


| Pc> 


| ec> 
Nn PC> 


PC> 
| 


EC> 


图 12-7 查看 PC-1 的 IP 地 址 


通过 观察 发 现 PC-1 已 经 通过 DHCP Server 获取 到 一 个 IPv4 地 址 192.168.1.249， 网 
关 地 址 为 192.168.1.254，DNS 服务 器 地 址 为 8.8.8.8。 
验证 路 由 器 与 PC 之 间 的 连通 性 。 
[Rllping 192.168.1.249 
PING 192.168.1.249: 56 data bytes, press CTRL_C to break 


Reply from 192.168.1.249: bytes=56 Sequence=] tti=128 time=500 ms 
Reply from 192.168.1.249: bytes=56 Sequence=2 ttl=128 time=180 ms 
Reply from 192.168.1.249: bytes=56 Sequence=3 ttl=128 time=130 ms 
Reply from 192.168.1.249: bytes=56 Sequence=4 ttl=128 time=90 ms 

Reply from 192,168.1.249; bytes=56 Sequence=5 ttl=128 time=110 ms 


--- 192.168.1.249 ping statistics --- 


5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 90/202/500 ms 


可 以 正常 通信 。 
打开 PC-2 的 “基础 配置 ”选项 卡 ， 在 “IPv4 配置 ” 栏 中 选择 “DHCP”， 然 后 单 击 
对 话 框 右 下 角 的 “应 用 ”按钮 ， 如 图 12-8 所 示 。 
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Ipv4 配置 
C 车 态 他 DHCP 取 自动 闵 取 DN5 服务 器 地 址 


jp 地 址 : ES DN51: ER | 
7 了 RED: ED on [ED 人 
网 关 : i 


| | 
| lpv 也 置 | 











图 12-8 PC-2 配置 界面 


单 击 PC-2 的 “命令 行 ”选项 卡 ， 输 入 “ipconfig” 命 令 查 看 接口 的 IP 地 址 ， 如 图 
12-9 所 示 。 


EPc2 , L=-Lo x 

| 基础 肥 置 语 令 行 组 播 “|| UoP 发 包工 具 

| 

| Welcome to use PC Simulator! | 

| | | 
Pc>ipconfig 加 | 

| Link local IPv6é address...........: feB0::5689:99ff:fecf:cS54de 

| IPv6 addresz- .ss 1 / 128 | 

| ZIRYE JaTewayor a re ma L$ 

| Lpva addviaDv a i sd L962.253 

ll Bubnet nose ny is sam anu mi SII S50 

| Gateway rt 192.168.2.254 

| Physical address,..,...,...........: 54-89-98-CF-C5-AB | 1 

| DNS SEVER oa 4 .086.8 


| 
| Ec> 
| 
| 











图 12-9 查看 PC-2 的 IP 地 址 
通过 观察 发 现 PC-2 已 经 通过 DHCP Server 获取 到 一 个 IPv4 地 址 192.168.2.253， 网 


关 地 址 为 192.168.2.254，DNS 服务 器 地 址 为 8.8.8.8。 
验证 路 由 器 与 PC 之 间 的 连通 性 。 
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[Ri]ping 192.168.2.253 

PING 192.168.2.253: 56 data bytes, press CTRL C to break 
Reply from 192.168.2.253: bytes=56 Sequence=]1 ttl=128 time=500 ms 
Reply from 192.168.2.253: bytes=56 Sequence=2 ttl=128 time=180 ms 
Reply from 192.168.2.253: bytes=56 Sequence=3 ttl=128 time=130 ms 
Reply from 192.168.2.253: bytes=56 Sequence=4 ttl=128 time=90 ms 
Reply from 192.168.2.253: bytes=56 Sequence=5 ttl=128 time=110 ms 

--- 192.168.2.253 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/ayg/max = 90/202/500 ms 


可 以 正常 通信 。 
思考 


请 问 DHCP 服务 器 在 分 配 地 址 时 是 从 该 网 段 中 最 小 的 地 址 进行 分 配 还 是 最 大 的 地 址 
进行 分 配 ? 这样 有 什么 好 处 ? 


12.3 配置 DHCP 中 继 


原理 概述 


由 于 在 下 地 址 动态 获取 的 过 程 中 ,客户 端 采 用 广播 方式 发 送 请 求 报 文 ， 而 广播 报 文 
不 能 跨 网 段 传 送 , 因 此 DHCP 只 适用 于 DHCP 客户 端 和 服务 器 处 于 同一 个 网 段 内 的 情况 。 
当 多 个 网 段 都 需要 进行 动态 IP 地 址 分 配 时 ， 就 需要 在 所 有 网 段 上 都 设置 一 个 DHCP 服 
务 器 ， 这 显然 是 不 易 管 理 和 维护 的 。 

DHCP 中 继 可 以 使 客户 端 通过 它 与 其 他 网 段 的 DHCP 服务 器 通信 , 最 终 获 取 卫 地 址 ， 
解决 了 DHCP 客户 端 不 能 跨 网 段 向 服务 器 动态 获取 人 P 地 址 的 问题 。 这 样 ， 在 多 个 不 同 
网 络 上 的 DHCP 客户 端 可 以 使 用 同一 个 DHCP 服务 器 ， 既 节省 了 成 本 ， 又 便于 进行 集中 
管理 和 维护 。 路 由 器 或 三 层 交 换 机 都 可 以 充当 DHCP 中 继 设 备 。 


实验 目的 


e 理解 DHCP 中 继 的 应 用 场景 
。 掌握 DHCP 中 继 的 配置 


实验 内 容 


本 实验 模拟 企业 网 络 场景 。 某 公司 分 部 的 网 络 由 交换 机 S1 和 网 关 路 由 器 R1 组 成 ， 
员工 终端 PC-1 和 PC-2 都 连接 在 S1 上 。 公 司 要 求 分 部 内 所 有 员工 主机 的 IP 地 址 都 通过 
总 部 的 DHCP 服务 器 自动 获取 。 分 部 网 关 路 由 器 R1 通过 公 网 路 由 器 R2 访问 公司 总 部 的 
DHCP 服务 器 R3。 由 于 公司 分 部 与 总 部 不 在 同一 个 子 网 , 需要 在 R1 上 配置 DHCP 中 继 ， 
使 分 部 内 主机 能 跨 网 段 从 总 部 的 DHCP 服务 器 自动 获取 下 地 址 。 
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实验 拓扑 
配置 DHCP 中 继 的 拓扑 如 图 12-10 所 示 。 








Ethernet 0/0/1 





Erhemet OJ0P 00 iD 


ee Ethernet 0/0/1 GE 0/0/0 gz GE 0/0/1 草 
0 Ethernet 1/0/1 GE 0/0/0 国 GE 0/0/1 


SI 
Ethernet 0/0/3 













RI1 R2 R3 


Ethernet 0/0/1 





12-10 配置 DHCP 中 继 拓扑 


实验 编 址 


实验 编 址 见 表 12-3。 
表 12-3 实验 编 址 












R1 (AR1220) 


R2 (AR1220) 





GE 0/0/1 100.1.1.2 255.255.255,0 
GE 0/0/1 100.1.1.1 255.255.255.0 


R3 (AR1220) 





实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 IP 地 址 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 
<Rl>ping 200.1.1.2 
PING 200.1.1.2: 56 data bytes, press CTRL C to break 
Reply from 200.1.1.2: bytes=56 Sequence=] tt]=255 time=40 ms 
Reply from 200.1.1.2; bytes=56 Sequence=2 ttl=255 time=30 ms 
Reply from 200.1.1.2: bytes=56 Sequence=3 ttl=255 time=50 ms 
Reply from 200.1.1.2: bytes=56 Sequence=4 ttl=255 time=20 ms 
Reply from 200,1.1.2; bytes=56 Sequence=5 ttl=255 time=50 ms 
-一 200.1.1.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
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0.00% packet loss 
round-trip min/avg/max = 20/38/50 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 搭建 OSPF 网 络 
在 公司 路 由 器 R1、R2、R3 上 都 配置 运行 OSPF 协议 ， 所 有 网 段 都 发 布 到 区 域 0 中 。 


[Rl1]ospf 1 

[Rl1-ospf-llarea 0 

[R1-ospf-1-area-0.0.0.0]network 200.1.1.0 0.0.0.255 
[Rl1-ospf-1-area-0.0.0.0]Inetwork 10.1.1.0 0.0.0.255 


[R2]ospfl 

[R2-0spf-llarea 0 

[R2-0spf-1-area-0.0.0.0]network 200.1.1.0 0.0.0.255 
[R2-0spf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255 


[R3]ospf 1 

[R3-ospfTjarea0 

[BR3-osp 人 1-area-0.0.0.0]network 100.1.1.0 0.0.0.255 
配置 完成 后 ， 查 看 路 由 表 信息 。 
<R1l>display ip routing-table 

Route Flags: R - relay, D - downloadto fib 


Routing Tables: Public 


Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.1.0/24 Direct 0 0 D 10.1.1.254 Ethernet1/0/] 
10.1.1.254/32 Direct 0 0 D 127.0.0.1 Ethernet1/0/1 
100.1.1.0/24 OSPF 10 0 Deg200d] 2 GigabitEthemet0/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.l InLoopBack0 
127.0.0.1/32 Direct 0 0 内 三 [270.0 工 InLoopBack0 
200.1.1.0/24 Direct 0 0 D2001El GigabitEthemet0/0/0 
200.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0 
<R2>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 

Destinations : 7 Routes :7 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.1.0/24 OSPF i102 D 200.1.1.1 GigabitEthemet0/0/0 
100.1.1.0/24 Direct 0 0 D 100.1.1.2 GigabitEthernet0/0/1 
100.1,1.2/32 Direct 0 0 D12NQ00:l GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.l InLoopBack0 
200.1.1.0/24 Direct 0 0 DZ200SL2 GigabitEthernet0/0/1 
200.1.1.2/32 Direct 0 0 Dy 1270.0:] GigabitEthermet0/0/0 


<R3>display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 6 Routes :6 
Destination/Mask Proto Re Oost Flags NextHop Interface 
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10.1.1.0/24 OSPF 10 3 D 100.1.1.2 GigabitEthernet0/0/1 
100.1.1.0/24 Direct 0 0 D 100.1.1.1 GigabitEthernet0/0/1 
100.1.1.1/32 Direct 0 0 Doe 1270.0i1 GigabitEthernet0/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 12N0.0,1 InLoopBack0 
200.1.1.0/24 OSPF 几 1 100.1.1.2 GigabitEthernet0/0/1 


可 以 观察 到 ， 目 前 每 台 设备 都 可 以 正常 获得 路 由 信 息 ， 连 通 性 测试 省 略 。 

3. 配置 DHCP 服务 器 

总 部 路 由 器 R3 配置 为 DHCP 服务器， 负责 为 分 部 的 网 络 分 配 IP 地 址 。 在 R3 上 使 
用 dhcp enable 命令 开启 DHCP 功能 , 创建 全 局 地 址 池 dhcp-pool, 可 分 配 IP 地 址 范围 为 
10.1.1.0/24， 出 口 网 关 地 址 为 10.1.1.254。 并 在 面向 DHCP 中 继 设备 的 接口 上 开启 DHCP 
服务 功能 ， 指 定 从 全 局 地 址 池 分 配 地 址 。 


[R3]dhcp enable 

Info: The operation may take a few seconds. Please wait for a moment.done. 
[R3jip pool dhcp-pool 

Info:It's successful to create an IP address pool， 
[R3-ip-pool-dhcp-pool]jnetwork 10.1.1.0 mask 255.255.255.0 
[R3-ip-pool-dhcp-poollgateway-list 10.1.1.254 
[R3-ip-pool-dhcp-pooljinterface GigabitEthernet0/0/1 
[R3-GigabitEthernet0/0/1]dhep select global 


配置 完成 后 ， 使 用 display ip pool 命令 查看 IP 地 址 池 的 配置 情况 。 


[R3]display ip pool 


Pool-name : dhcp-pool 

Pool-No :0 

Position :Local Status : Unlocked 
Gateway-0 ;10.1.1.254 

Mask :255.255.255.0 

VPN instance 

IP address Statistic 

Total 3 

Used :0 Idle 3 

Expired :0 Conflict :0 Disable :0 


可 以 观察 到 ， 当 前 可 用 的 地 址 除去 网 关 IP 以 外 还 剩 下 253 个 可 用 ， 目 前 还 没有 PC 
动态 申请 卫 地 址 。 

4. 配置 DHCP 中 继 

下 面 配 置 Rl 为 DHCP 中 继 设备 ， 指 定 DHCP 服务 器 为 R3。 这 时 如 果 Rl1 从 E 0/0/1 
接口 收 到 PC 的 DHCP 广播 请 求 包 , Rl 作为 DHCP 中 继 设备 会 以 单 播 形式 转发 请 求 包 到 
中 继 所 指明 的 DHCP 服务 器 R3; R3 收 到 DHCP 请 求 包 后 ， 会 把 分 配 的 IP 地 址 通过 单 
播 包 返回 给 R1; Rl 再 把 地 址 信息 发 送 给 PC。 

配置 指定 DHCP 服务 器 有 两 种 方式 ,一 种 方式 是 在 面向 PC 的 接口 下 直接 配置 DHCP 
服务 器 IP 地 址 ， 另 一 种 方式 是 在 面向 PC 的 接口 下 调用 全 局 定义 的 DHCP 服务 器 组 。 

(1) 第 一 种 配置 方法 : 直接 在 R1 的 EE 0/0/1 接口 下 开启 DHCP 中 继 功 能 ， 并 直接 指 
定 DHCP 服务 器 他 地 址 为 100.1.1.1。 

Rijdhcp enable 


[R1I]interface Ethernet]1/0/1 
[R1-Ethernetl/0/1]dhcp select relay 
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[R1-Ethernet1/0/1]dhep relay server-ip 100.1.1.1 

(2) 第 二 种 配置 方法 : 在 R1 上 创建 DHCP 服务 器 组 ， 指 定 组 名 为 dhcp-group， 并 
使 用 dhcp-server 命令 添加 远 端的 DHCP 服务 器 地 址 。 接 着 在 E 1/0/1 接口 下 开启 DHCP 
中 继 功 能 并 配置 所 对 应 的 DHCP 服务 器 组 。 


[Rl]dhep server group dhcp-group 
Info:It's successful to create a DHCP server group. 
[R1-dhcp-server-group-dhcp-group]dhcp-server 100.1.1.1 
[Rl1-dhep-server-group-dhcp-groupl]interface Ethernet 1/0/1 
Rl1-Ethemet1/0/1]dhep select relay 
[RI1-Ethermmet1/0/1ldhcp relay server-select dhcp-group 


两 种 方式 均 能 达到 同样 的 配置 要 求 ， 相 比 而 言 ， 在 接口 下 直接 指定 DHCP 服务 器 卫 
地 址 的 方式 较 简 单 。 但 如 果 中 继 设 备 上 有 多 个 接口 需要 配置 DHCP 中 继 功能 ， 则 要 在 所 
有 接口 上 重复 同样 的 配置 ， 产 生 的 配置 量 较 大 。 这 种 情况 就 应 该 使 用 服务 器 组 的 方式 ， 
仅 在 全 局 定义 一 次 ， 在 每 个 接口 重复 调用 即 可 ， 当 有 多 个 DHCP 服务 器 或 者 服务 器 他 
地 址 需要 更 改 时 尤为 方便 。 

5. 配置 PC 获取 地 址 方式 为 DHCP 

当 DHCP 中 继 设 备 R1 和 DHCP 服务 器 R3 配置 完成 后 ， 且 中 间 链 路 的 连通 性 也 正 
常 的 情况 下 ， 配 置 PC 机 使 用 DHCP 获取 IP 地 址 ， 如 图 12-11 所 示 。PC-2 也 使 用 同样 的 
方式 配置 使 用 DHCP。 


EPE 


‖ | 革 员 配置 “| 命 信行，|| 组 揪 “|| upp 发 包工 具 
| | 


C 静态 G DHepl 所 自动 获取 DN5 服务 器 地 址 
下 地址 : | 5 a DNS1; | 
子 网 掩 码 : | DNS2: | 











12-11 PC-1 配置 界面 


配置 完成 后 ， 在 PC-1 的 “命令 行 ” 选 项 卡 中 使 用 “ipconfig” 命 令 查看 地 址 获得 的 
情况 ， 如 图 12-12 所 示 。 
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SPE | 


一 下 一 二 本 


| [和 ss 行 || 她 后 ”UcP 发 包 了 内 | 
\ Welcome to use PC Simulator! 


PC>ipconfig 









Link local IPv6 address,..,.........: fe80;:5689:98ff: fecf:8367 
和 BE addEdmy on oy Vas ody Wide ds em Ri ff N28 
IPV6 gateway or rd 


TVA dPaS ria dma Ld 

| Subnet mask.. .1 255.255.255.0 
OatoMayr oe L254 
Ehysical ddr nr ua sms SA"INCH=-R6 
DNS SOLVErs os 

| 

| BC> 

| 





Bs mn 


12-12 查看 PC-1 的 卫 地 址 


同样 在 PC-2 的 “命令 行 ” 选 项 卡 中 使 用 “ipconfig” 命 令 查看 地 址 获得 的 情况 ， 如 
图 12-13 所 示 。 





| ] 
PC2 sa de 
鞭 础 和 置 剖 令 行 姐 播 UDP 发 包工 具 

| Welcome to use PC Simulator! 

PC>ipconfig 

Bink Local IPVE QUEESS os mrs : feB80::5689;98ff: fecf:4c53 

TP UEDA da se se tS 2 2a 

IRBv6 gatewaye rr os 

TUS eddreBB ss sn.e 5 i100.1.1,.252 

SUDnet maBkoesa ss eat rd se i 2535.52559.255,0D 

[ s oan i A lie » L01254 

Physical addregBi sos us ina sms S89-90“08=-40-53 

DNS 3ecVer。 oosoioeoressres 

PC> 








图 12.13 查看 PC2 的 卫 地 址 
现在 两 台 PC 都 从 总 部 DHCP 服务 器 获得 IP 地 址 ， 测 试 两 台 PC 间 的 连通 性 。 


PC>ping 10.1.1.253 

Ping 10.1.1.253: 32 data bytes, Press Ctrl_C to break 
From 10.1.1.253; bytes=32 seq=]1 ttl=128 time=32 ms 
From 10.1.1.253; bytes=32 seq=2 ttl=128 time<] ms 
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From 10.1.1.253: bytes=32 seq=3 ttl=128 time=16 ms 
From 10.1.1.253; bytes=32 seq=4 ttl=128 time<] ms 
From 10.1.1.253: bytes=32 seq=5 ttl=128 time=15 ms 
-一 10.1.1.253 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 0/12/32 ms 


测试 成 功 。PC 通过 DHCP 中 继 设备 成 功 从 DHCP 服务 器 获得 人 P 地 址 ， 并 能 使 用 该 
地 址 相互 通信 。 

整个 配置 过 程 ， 仅 在 网 关 路 由 器 R1 上 开启 DHCP 中 继 功能 ， 在 分 部 没有 其 他 过 多 
的 DHCP 配置 。 由 此 可 见 , 在 网 络 设 计 和 管理 中 灵活 使 用 DHCP 中 继 功 能 能 够 使 网 络 运 
行 更 加 高 效 和 方便 。 


思考 


在 Rl 充当 DHCP 中 继 代 理 时 ， 客 户 的 DHCP 请 求 包 经 DHCP 中 继 R1 到 达 DHCP 
服务 器 R3 后 ， 如 果 R3 上 定义 有 不 同 网 段 的 多 个 IP 地 址 池 ，R3 如 何 知道 该 从 哪个 地 址 
池 分 配 地 址 给 PC-1 和 PC-2? 











第 13 便 
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13.1 1IPv6 基 础 配置 
13.2 RIPng 基础 配置 
13.3 OSPFv3 基 础 配置 
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13.1 1IPv6 基础 配置 


原理 概述 


以 IPv4 为 核心 技术 的 Internet 获得 巨大 成 功 ， 促 使 卫 技术 得 到 广泛 应 用 。 然 而 ， 随 
着 Internet 的 迅猛 发 展 ，IPv4 技术 的 不 足 也 日 益 凸 显 ， 特 别 是 地 址 空间 的 不 足 直接 限制 
了 卫 技术 应 用 的 进一步 发 展 。 

IPv6 (JInternet Protocol Version 6) 是 网 络 层 协议 的 第 二 代 标 准 协议 ， 也 被 称 为 IPng 
(IP next generation， 下 一 代 了 正 协 议 )。 它 是 IETF 设计 的 一 套 规范 。IPv6 和 IPv4 之 间 最 
显著 的 区 别 就 是 IP 地 址 长 度 从 原来 的 32 bit 变 为 128 bit， 地 址 空间 大 得 惊人 ， 有 一 种 等 
张 的 说 法 是 : 地 球 上 的 每 一 粒 沙子 都 可 以 拥有 一 个 IPv6 地 址 。IPv6 以 其 简化 的 报 文 头 
格式 、 充 足 的 地 址 空间 、 层 次 化 的 地 址 结构 、 灵 活 的 扩展 头 、 增 强 的 邻居 发 现 机 制 将 在 
未 来 的 市 场 竞 争 中 充满 活力 。 

128 bit 的 了 Pv6 地 址 被 分 为 8 组， 每 组 的 16 bit 用 4 个 十 六 进 制 字符 (0~~9，A~F) 
来 表示 ， 组 和 组 之 间 用 冒号 隔 开 。 比 如 2031:0000:130F:0000:0000:09C0:876A:130B， 为 
了 书写 方便 , 每 组 中 的 前 导 “0” 都 可 以 省 略 。 地 址 中 包含 的 连续 两 个 或 多 个 均 为 0 的 组 ， 
可 以 用 双 冒 号 “::” 来 代替 ， 这 样 可 以 压缩 IPv6 地 址 书写 时 的 长 度 。 但 是 在 一 个 IPv6 地 
址 中 只 能 使 用 一 次 双 冒 号 “::”， 否 则 当 计 算 机 将 压缩 后 的 地 址 恢复 成 128 bit 时 ， 无 法 确 
定 每 段 中 0 的 个 数 。 所 以 ， 上 述 地 址 可 以 简写 为 2031:0:130F::9C0:876A:130B。 

一 个 IPv6 地 址 可 以 分 为 两 部 分 ， 比 如 2001:A304:6101:1:0000:E0:F726:4E58 /64， 
前 64 bit 是 网 络 前 级, 相当 于 IPv4 地 址 中 的 网 络 ID, 后 64 bit 相当 于 IPv4 地 址 中 的 主 
机 ID。 


实验 目的 


e 理解 IPv6 的 地 址 格式 

e 掌握 IPv6 手工 配置 IP 地 址 的 方法 

e 掌握 EUI-64 方式 配置 IPv6 地 址 的 方法 

e 掌握 IPv6 静态 路 由 和 默认 路 由 的 配置 方法 
实验 内 容 


某 公司 在 新 建 网 络 时 部 署 IPv6，R1 和 R2 分 别 为 IT 部 门 和 人 事 部 门路 由 器 ， 两 个 
部 门 通过 交换 机 S1 相连 。IT 部 门 的 员工 终端 PC-1 手工 配置 IPv6 地 址 ， 并 在 R1 与 R2 
上 配置 IPv6 静态 路 由 ， 使 两 个 部 门 的 终端 能 够 互相 通信 。 


实验 拓扑 
IPv6 基础 配置 的 拓扑 如 图 13-1 所 示 。 
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GE 0/0/1 “= Ethernet 0/0/2 CE 
RI = 一 一 = 时 FR2 
GE 0/0/1 


Ethernet 0/0/1 








GE 0/0/0 Eo | GE oo0 
2001:3:FD: /64 EUFE64| 2005:3:DE:64 EVI64| 
Ethernet 0/0/1 Ethernet 0/0/1 
PC-1 PC-2 
ED | 12002:3:DE| 
图 13-1 IPv6 基础 配置 拓扑 
实验 编 址 
实验 编 址 见 表 13-1。 
表 13-1 实验 编 址 












2001:3:FD::/64eui-64 | 64 | 
| GEool | 2031:0:130F:1 | 6 | 
| GE00o0 | 2002:3:DE:/64eui-64 | 64 
| Ethemetooll | 2001:3:FD:2 | 6 | 
| Ethemetool | 20023:DE:2 | 6 | 


R1 (AR1220) 


R2 (AR1220) 


实验 步骤 


1. 配置 IPv6 单 播 地 址 

根据 实验 编 址 表 在 PC 上 配置 相应 的 IPv6 地 址 。 模 拟 器 中 的 PC 上 已 经 默认 开启 了 
IPv6 功能 ， 即 已 经 自动 生成 了 链 路 本 地 地 址 。 

在 路 由 器 系统 视图 模式 下 全 局 开启 IPv6 功能 。 


<R1>system-yiew 

[Rillipv6 

在 Rl 上 的 GE 0/0/0 接口 下 使 用 ipv6 enable 命令 开启 IPv6 功能 。 
[Rillinterface GigabitEthernet 0/0/0 

[R1-GigabitEthernet0/0/0]ipv6 enable 

在 Rl 的 GE 0/0/0 接口 上 配置 自动 生成 的 链 路 本 地 地 址 。 
[Rllinterface GigabitEthernet 0/0/0 

[R1-GigabitEthernet0/0/0]ipy6 address auto link-local 

配置 完成 后 ， 在 R1 上 查看 GE 0/0/0 接口 所 配置 的 自动 生成 的 链 路 本 地 地 址 。 
[Rl]display ipv6 interface 

GigabitEthemet0/0/0 current state : UP 

IPv6 protocol current state : UP 
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IPv6 is enabled, link-local address is FE80::2E0:FCFF:FE03:19AB 
No global unicast address configured 


Wasa 


可 以 观察 到 当前 GE 0/0/0 接口 下 的 链 路 本 地 地 址 为 FE80::2E0:FCFF:FE03:19AB。 
在 PC-1 上 测试 与 Rl 链 路 本 地 地 址 间 的 连通 性 。 
PC>ping FE80::2E0:FCFF:FE03:19AB 
Ping fe80::2e0:feff:fe03:19ab: 32 data bytes, Press Ctrl_C to break 
From fe80::2e0:feff:fe03:;19ab: bytes=32 seq=l hop limit=64 time=141 ms 
From fe80::2e0:feff:fe03:19ab: bytes=32 seq=2 hop limit=64 time=47 ms 
From fe80::2e0:feff:fe03:;19ab: bytes=32 seq=3 hop limit=64 time=47 ms 
From fe80::2e0:feff:fe03:19ab: bytes=32 seg=4 hop limit=64 time=31 ms 
From fe80::2e0:feff:fe03:19ab: bytes=32 seq=5 hop limit=64 time=16 ms 
-— fe80::2e0:feff:fe03:19ab ping statistics --- 

3 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 16/56/141 ms 
通信 正常 。 同 理 配置 R2 的 GE 0/0/0 接口 。 
[R21]ipv6 
[R2]interface GigabitEthernet 0/0/0 
[R2-GigabitEthernet0/0/0]ipv6 enable 
[R2-GigabitEthernet0/0/0]ipv6 address auto link-local 
配置 完成 后 ， 测 试 PC-2 与 R2 之 间 的 连通 性 。 
PC>ping FE80::2E0Q:FCFF:FE03:3B30 
Ping fe80::2e0:feff:fe03:3b30: 32 data bytes, Press Ctrl_C to break 
From fe80:;:2e0:feff:fe03;3b30: bytes=32 seq=1 hop limit=64 time=109 ms 
From fe80::2e0:feff:fe03:3b30: bytes=32 seq=2 hop limit=64 time=16 ms 
From fe80::2e0:feff:fe03:3b30: bytes=32 seq=3 hop limit=64 time<l ms 
From fe80::2e0:fcff:fe03:3b30: bytes=32 seq=4 hop limit=64 time<l ms 
From fe80::2e0:feff:fe03:3b30: bytes=32 seq=5 hop limit=64 time=16 ms 
-—- fe80::2e0:feff:fe03:3b30 ping statistics --— 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/ayg/max = 0/28/109 ms 


可 以 观察 到 ， 通 信 正 常 。 

在 Rl 和 R2 的 GE 0/0/1 接口 上 手工 静态 配置 全 球 单 播 地 址 。 在 配置 IPv4 地 址 时 ， 
新 地 址 会 替换 老 地 址 ;而 在 配置 IPv6 地 址 时 ， 新 地 址 会 被 添加 ， 老 地 址 不 受 影响 。 使 用 
ipv6 address 命令 可 以 为 接口 直接 添加 IPv6 地 址 ，2031:0:130F::1 为 需要 配置 的 IPv6 地 
址 ，64 为 此 地 址 的 前 级 长 度 。 


[Rllinterface GigabitEthernet 0/0/1 
[RI1-GigabitEthernet0/0/1]ipv6 enable 
[R1-GigabitEthemet0/0/1]ipv6 address 2031:0:130F::1 64 


[R2]interface GigabitEthernet 0/0/1 
[R2-GigabitEthernet0/0/1]ipv6 enable 
[R2-GigabitEthernet0/0/1]ipv6 address 2031:0:130F::2 64 


配置 完成 后 在 R1 和 R2 上 查看 所 配置 的 全 局 地 址 。 
[Rlldisplay ipv6 interface GigabitEthernet 0/0/1 

GigabitEthermet0/0/] current state : UP 

IPv6 protocol current state : UP 
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IPv6 is enabled, link-local address is FE80::2EQ:FCFF:FE03:19AC 
Global unicast address(es); 

2031:0:130F::1, subnet is 2031:0:130F::/64 

Joined group address(es): 


ness 


[R2]display ipv6 interface GigabitEthernet 0/0/1 
GigabitEthernet0/0/1 current state : UP 

IPv6 protocol current state : UP 

IPv6 is enabled, link-local address is FE80::2E0:FCFF:FE03:3B31 
Global unicast address(es): 

2031:0:130F::2, subnet is 2031:0:130F::/64 

Joined group address(es): 


可 以 观察 到 ，IPv6 全 球 单 播 地 址 的 配置 已 经 生效 。 
测试 Rl 与 R2 的 全 球 单 播 地 址 间 的 连通 性 , 同时 请 注意 区 分 全 球 单 播 地 址 和 链 路 本 
地 地 址 。 
<R2>ping ipy6 2031:0:130F::1 
PING 2031:0:130F::1 : 56 data bytes, press CTRL_Cto break 
Reply from 2031:0:130F::1 
bytes=56 Sequence=l hop limit=64 time= 340 ms 
Reply from 2031:0:130F::1 
bytes=56 Sequence=2 hop limit=64 time= 70 ms 
Reply from 2031:0:130F::] 
bytes=56 Sequence=3 hop limit=64 time = 50 ms 
Reply from 2031:0:130F::1 
bytes=56 Sequence=4 hop limit=64 time= 50 ms 
Reply from 2031:0:130F::1 
bytes=56 Sequence=5 hop limit=64 time= 30 ms 
一 2031:0:130F::1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 30/108/340 ms 


可 以 观察 到 ， 通 信和 正常 。 
2. 用 EUI- 64 方式 配置 IPv6 地 址 
在 Rl 的 GE 0/0/0 接口 使 用 ipv6 address 命令 配置 EUI-64 地 址 。 


[Rll]interface GigabitEthernet 0/0/0 
[R1-GigabitEthernet0/0/0]ipv6 address 2001:3:FD:: 64 eui-64 


配置 完成 后 ， 查 看 配置 结果 。 
[Rl1ldisplay ipv6 interface brief 
*down: administratively down 


(1): loopback 

(s): spoofing 

Interface Physical Protocol 
GigabitEthemet0/0/0 up up 
[IPv6 Address] 2001:3:FD:0:;2E0:FCFF:FE03:19AB 
GigabitEthernet0/0/1 up up 


LPv6 Address] 2031:0:130F;:1 


可 以 观察 到 ，R1 的 GE 0/0/0 接口 此 时 已 经 生成 了 有 效 的 EUI-64 地 址 。 
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继续 在 R2 上 的 GE 0/0/0 接口 使 用 ipv6 address eui-64 命令 配置 EUI-64 地 址 。 
[R2]interface GigabitEthernet 0/0/0 、 

[R2-GigabitEthernet0/0/0]ipv6 address 2002:3:DE:: 64 eui-64 

配置 完成 后 ， 查 看 配置 结果 。 

[R21]display ipv6 interface brief 

*down: administratively down 

(1): loopback 


(8): spoofing 

Interface Physical Protocol 
GigabitEthernet0/0/0 up up 
[IPv6 Address] 2002:3:DE:0:2E0:FCFF:FE03:3B30 
GigabitEthemet0/0/1 up up 


[IPv6 Address] 2031:0:130F::2 

地 址 生成 后 ， 在 PC-1 上 配置 Rl 的 GE 0/0/0 接口 地 址 为 网 关 地 址 ， 在 PC-2 上 配置 
R2 的 GE 0/0/0 接口 地 址 为 网 关 地 址 。 

3. 配置 IPv6 静态 路 由 和 默认 路 由 

在 Rl1 上 使 用 ipv6 route-static 命令 配置 IPv6 静态 路 由 , 目的 网 段 为 PC-2 所 在 的 JPv6 
网 段 ， 下 一 跳 为 R2 的 GE 0/0/1 接口 的 IPvw6 全 球 单 播 地 址 。 


[RIlipv6 route-static 2002:3:DE:: 64 2031:0:130F::2 


在 R2 上 配置 IPv6 默认 路 由 ， 下 一 跳 为 R1 的 GE 0/0/1 接口 的 IPV6 全 球 单 播 
地 址 。 


[R2]ipv6 route-static :: 0 2031:0:130F::1 
配置 完成 后 在 PC-1 上 测试 与 PC-2 间 的 连通 性 。 
PC>ping 2002:3:DE::2 
Ping 2002:3:de::2: 32 data bytes, Press Ctrl C to break 
From 2002:3:de::2; bytes=32 Seq=l hop limit=253 time=31 ms 
From 2002:3:de::2: bytes=32 seq=2 hop limit=253 time=47 ms 
From 2002:3:de::2: bytes=32 seq=3 hop limit=253 time=47 ms 
From 2002:3:de::2: bytes=32 seq=4 hop limit=253 time=47 ms 
From 2002:3:de::2; bytes=32 seq=5 hop limit=253 time=32 ms 
-一 2002:3:de::2 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/ayg/max = 31/40/47 ms 


可 以 观察 到 ， 通 信 正 常 。 
思考 
如 果 路 由 器 的 某 一 接口 下 配置 了 多 个 IPv6 地 址 ， 互 相 之 间 是 否 会 产生 影响 ? 


13.2 ”RIPng 基础 配置 


原理 概述 
RIPng (RIP next generation， 下 一 代 RIP 协议 ) 是 IPv4 中 RIPv 2 协议 在 IPv6 网 络 
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上 的 扩展 ， 多 数 RIPv2 的 原理 都 可 以 适用 于 RIPng。RIPng 协议 同样 是 基于 距离 矢量 算 
法 的 路 由 协议 ， 用 跳 数 来 衡量 到 达 目 的 主机 的 距离 〈 也 称 为 度量 值 或 开销 )。 在 RIPng 
协议 中 ， 当 跳 数 大 于 或 等 于 16 时 ， 目 的 网 络 或 主机 就 被 定义 为 不 可 达 。 

为 了 能 在 IPv6 网 络 中 应 用 ，RIPng 对 原 有 的 RIP 协议 进行 了 修改 。 

国 ”UDP 端口 号 : 使 用 UDP 的 521 端口 (RIP 使 用 520 端口 ) 发 送 和 接收 路 由 信息 ; 

国 组 播 地 址 : 使 用 FF02::9 作为 链 路 本 地 范围 内 的 RIPng 路 由 器 组 播 地 址 ; 

国 目的 地 址 和 下 一 跳 地 址 : 使 用 128 bit 的 IPv6 地 址 ， 并 使 用 前 缀 长度 来 代替 子 网 


RIPng 协议 路 由 算法 和 RIPv2 一 样 ， 同 样 支持 水 平分 割 、 毒 性 逆转 和 触发 更 新 
， 用 来 防止 环 路 。 默 认 情 况 下 ， 启 用 水 平分 割 功能 和 触发 更 新 ， 不 启用 毒性 逆转 


实验 目的 


e 理解 RIPng 的 应 用 场景 
。 掌握 RIPng 的 配置 
e 理解 RIPng 配置 与 RIP 配置 的 区 别 


实验 内 容 


某 公 司 内 部 网 络 是 个 小 型 的 IPv6 网 络 , 公司 内 IT 部 门 通过 路 由 器 R2 与 公司 出 口 网 
关 Rl 相连 ， 人 事 部 门 通过 路 由 器 R3 与 网 关 R1 相连 。 由 于 公司 网 络 是 个 简单 的 网 络 ， 
本 实验 通过 配置 RIPng 协议 使 各 IPv6 网 络 互 通 。 


实验 拓扑 
RIPng 基础 配置 的 拓扑 如 图 13-2 所 示 。 


| Ethernet 0/0/1 = Ethernet 0/0/1 天- 旭 
~ 


Ethernet 0/0/2 gl GE 0/0/1 





PC-1 R2 





GE 0/0/1 


[ Ethernet 0/0/1 Ethernet 0/0/1 
i es | 
Ethernet 0/0/2 GE 0/0/0 


wo BE 
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实验 编 址 


实验 编 址 见 表 13-2。 
表 13-2 实验 编 址 


设备 IPv6 地 址 子 网 掩 码 默认 网 关 

本 GE 0/0/0 2001::1 N/A 
GE 0/0/1 2002::1 N/A 
a GE 0/0/1 3001::E N/A 
GE 0/0/0 2001::2 N/A 
ey GE 0/0/0 3002::E | | N/A 
GE 0/0/1 2002::2 N/A 

PC-1 Ethernet 0/0/1 3001::1 3001::E 

PC-2 Ethernet 0/0/1 3002::1 3002::E 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 配 置 各 接口 的 IPv6 地 址 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连 
[RI]ping ipv6é 2002::2 
PING 2002::2 :36 data bytes, press CTRL C to break 
Reply from 2002::2 
bytes=56 Sequence=l hop limit=64 time= 140 ms 
~ Reply from 2002::2 
bytes=56 Sequence=2 hop limit=64 time= 50 ms 
Reply from 2002::2 
bytes=56 Sequence=3 hop limit=64 time= 70 ms 
Reply from 2002::2 
bytes=56 Sequence=4 hop limit=64 time= 30 ms 
Reply from 2002::2 
bytes=56 Sequence=5 hop limit=64 time=20 ms 
--- 2002::2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 20/62/140 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 配置 RIPng 
根据 图 13-2 在 R1、R2、R3 上 配置 RIPng 协议 ， 创 建 RIPng 路 由 进程 1。 


[Rilripng 1 
[R2]ripng 1 
[R3]ripng 1 
配置 完成 后 ， 在 路 由 器 各 相应 接口 下 配置 RIPng。 


[Rllinterface GigabitEthernet 0/0/0 
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[Rl1-GigabitEthernet0/0/0]ripng 1 enable 
[R1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1 
[R1-GigabitEthernet0/0/1]ripng 1 enable 


[R2]interface GigabitEthernet 0/0/0 
[R2-GigabitEthernet0/0/0]ripng 1 enable 
[R2-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1 
[R2-GigabitEthernet0/0/1]ripng 1 enable 


[R3]interface GigabitEthernet 0/0/0 

[R3-GigabitEthernet0/0/0]ripng 1 enable 
3-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1 
[R3-GigabitEthernet0/0/11]ripng 1 enable 

3， 检 查 RIPng 的 路 由 表 

配置 完成 后 ， 查 看 每 台 路 由 器 RIPng 的 路 由 表 。 


[R1ljdisplay ipv6 routing-table 
Routing Table : Public 





Destinations : 8 Routes : 10 
Destination :3001:: PrefixLength : 64 
NextHop : FE80::5689:98FF:FE76:832B Preference 
Cost Sal Protocol 
RelayNextHop : :: TunnelD 
Interface : GigabitEthernet0/0/0 Flags SD 
Destination :3002:: PrefixLength : 64 
NextHop :FE80::5689:98FF:FE76:8224 Preference 
Cost el Protocol 
RelayNextHop : :: TunnelID 
Interface : GigabitEthernet0/0/1 Flags Ey 

[R21display ipv6 routing-table 

Routing Table : Public 

Destinations : 8 Routes : 12 

Destination :2002:: PrefixLength : 64 
NextHop : FE80;:5689:98FF:FE76:8223 Preference 
Cost | Protocol 
RelayNextHop : :: TunnelID 
Interface : GigabitEthernet0/0/0 Flags :D 
Destination ;3002:: PrefixLength : 64 
NextHop : FE80::5689:98FF:FE76:8223 Preference 
Cost | Protocol 
RelayNextHop : :: TunnelID 
Interface : GigabitEthemet0/0/0 Flags DD 


We 


[R3]display ipy6 routing-table 


:100 


:RIPng 


: 0x0 


:100 


:RIPng 


: Ox0 


:100 


:RIPng 


:100 


: RIPng 


:0x0 
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Routing Table: Public 


Destinations : 8 Routes : 12 

Destination :20012:: PrefixLength : 64 
NextHop : FE80::5689:98FF:FE76:830C Preference :100 
Cost a Protocol :RIPng 
RelayNextHop : :: TunnelID :0x0 
Interface : GigabitEthernet0/0/1 Flags :D 
Destination :3001:: PrefixLength : 64 
NextHop : FE80::5689:98FF:FE76:830C Preference :100 
Cost ED Protocol :RIPng 
RelayNextHop : :: TunnelID :0x0 
Interface : GigabitEthernet0/0/1 Flags SD 


可 以 观察 到 各 个 路 由 器 都 获取 了 相应 的 RIPng 路 由 信息 。 
在 路 由 器 R1、R2、R3 使 用 display ripng 1 route 命令 查看 RIPngl 的 路 由 信息 ， 同 
样 也 可 以 观察 到 每 台 路 由 器 上 获取 到 的 RIPng 路 由 信息 ， 以 R1 为 例 。 
[Rlldisplay ripng 1 route 
Route Flags: R - RIPng 
A-Aging, G - Garbage-collect 
Peer FE80::5689:98FF:FE76:832B on GigabitEthernet0/0/0 
Dest 3001::/64, 
Via FE80::5689:98FE:FE76:832B, cost 1,tag0,RA,29s 
Peer FE80::5689:98FF:FE76:832C on GigabitEthernet0/0/1 
Dest 3001::/64, 
Via FE80::5689:98FF:FE76:832B, cost 1, tag0,RA,14s 
Peer FE80::5689:98FF:FE76:8223 on GigabitEthermmet0/0/0 
Dest 3002::/64, 
via FE80::5689:98FF:FE76:8224, cost 1,tag0,RA,15s 
Peer FE80::5689:98FF:FE76:8224 on GigabitEthernet0/0/1 
Dest 3002::/64, 
Via FE80::5689:98FF:FE76:8224, cost 1, tag0,RA,13s 
在 PC-1 上 测试 与 PC-2 间 的 连通 性 。 
PC>ping 3002::1 
Ping 3002::1: 32 data bytes, Press Ctrl_C to break 
From 3002::1: bytes=32 seq=l hop limit=64 time=172 ms 
From 3002::1: bytes=32 seq=2 hop limit=64 time=46 ms 
From 3002::1: bytes=32 seq=3 hop limit=64 time=93 ms 
From 3002::1: bytes=32 seq=4 hop limit=64 time=16 ms 
From 3002::1: bytes=32 seq=5 hop limit=64 time=16 ms 
~- 3002::1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 16/68/172 ms 


可 以 观察 到 通信 正常 ，RIPng 协议 已 经 使 全 网 互通 。 
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思考 
RIPng 支持 认证 吗 ? 为 什么 ? 


13.3 OSPFvV3 基础 配置 


原理 概述 


OSPF 针对 IPv4 协议 使 用 的 是 Version 2， 针 对 IPv6 协议 使 用 的 是 Version 3， 即 
OSPFv3。OSPFv3 在 OSPFv2 基础 上 进行 了 增强 ， 是 一 种 运行 在 IPv6 网 络 之 上 的 路 由 
协议 。 

OSPFv2 是 基于 IPv4 子 网 运行 的 , 同一 链 路 上 的 所 有 节点 同 处 于 一 个 IPv4 子 网 或 网 
络 内 ,邻居 关系 建立 的 前 提 之 一 是 相连 接口 必须 处 于 同一 IPv4 子 网 内 , 每 一 条 路 由 的 下 
一 跳 地 址 都 是 和 路 由 器 接口 处 于 同一 网 段 的 IPv4 地 址 。OSPFv3 是 基于 链 路 运行 的 ， 同 
一 链 路 上 的 两 个 节点 不 必 有 具有 相同 的 前 级 也 可 以 直接 通信 ， 这 一 点 极 大 地 改变 了 OSPF 
的 行为 ， 使 它 独 立 于 网 络 协议 ， 容 易 扩 展 适应 各 种 协议 。 | 

OSPFv3 的 RouterID、Area ID 仍然 保留 类 似 IPv4 地 址 长 度 的 32 bit 的 格式 。 实 际 
上 这 些 字段 既 不 是 IPv4 地 址 ， 也 不 是 IPv6 地 址 ， 而 只 是 一 个 编号 。 

另外 在 OSPFv2 中 ,对 于 Broadcast 和 NBMA 网 络 类 型 ， 邻 居 路 由 器 是 以 耳 地 址 作 
为 标识 的 。 而 在 OSPFv3 中 , 邻居 路 由 器 总 是 以 Router-ID 作为 标识 的 , 所 以 DR 和 BDR 
也 总 是 用 其 Router-ID 来 标识 的 。 

OSPFv3 不 再 直接 提供 验证 功能 ， 转 而 依赖 IPv6 所 提供 的 卫 AH (Authentication 
Header) 和 IP ESP (Encapsulating Security Payload) 协议 进行 验证 ， 以 确保 路 由 信息 的 
可 信 性 、 完 整 性 和 机 密 性 。 


实验 目的 


。 理解 OSPFvV3 的 应 用 场景 

。 掌握 OSPFv3 的 配置 

。 理解 OSPFv3 配置 与 OSPFv2 配置 的 区 别 
。 理解 OSPFv3 基于 链 路 运行 的 特点 


实验 内 容 


公司 内 部 网 络 是 个 中 型 的 IPv6 网 络 ，R1 和 R2 是 公司 两 台 核 心路 由 器 ,，R3 是 IT 部 
门路 由 器 ， 与 核心 层 路 由 器 R1 直 连 。R4 为 人 事 部 门路 由 器 ， 与 核心 层 路 由 器 R2 直 连 。 
为 了 使 公司 内 网 所 有 部 门 网 络 能 互相 通信 , 需要 在 此 网 络 中 配置 支持 IPv6 的 动态 路 由 协 
议 。 考 虑 到 公司 网 络 较 大 以 及 网 络 的 扩展 ， 部 署 OSPFvV3。 核 心 层 路 由 器 之 间 为 区 域 0， 
整个 IT 部 门 在 区 域 1 中 ， 人 事 部 在 区 域 2 中 。 
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实验 拓扑 
OSPFv3 基础 配置 的 拓扑 如 图 13-3 所 示 。 






| 


GE 0/0/0 GE 0/0/0 









GE 0/0/1 





















GE 0/0/1 
GE 0/0/] 


Ethernet 0/0/1 
















一 一 6 一 一 
Ethernet 0/0/0 ernet 0/0/0 E62 


3002:E/6# 





Ethernet 0/0/2 






Ethernet 0/0/2 





Ethernet 0/0/1 Ethernet 0/0/1 


图 13-3 ”OSPFv3 基础 配置 拓扑 


实验 编 址 


实验 编 址 见 表 13-3。 
表 13-3 实验 编 址 


设备 IPv6 地 址 子 网 掩 码 默认 网 关 
GE 0/0/0 2001::1 N/A 
Ge GE 0/0/1 2002::1 | N/A 
GE 0/0/0 2001::2 0 N/A 
122 
0 GE 0/0/1 2003::2 | N/A 
GE 0/0/1 2002::3 世 N/A 
E20 Ethernet 0/0/0 3001::E Wa N/A 
GE 0/0/1 2003::4 | N/A 
1 
ee Ethernet 0/0/0 3002::E A | N/A 
PC-1 Ethernet 0/0/1 3001::1 | 3001::E 
PC-2 Ethernet 0/0/1 3002::1 3002::E 


实验 步骤 


1. 基本 配置 : 
在 各 台 设 备 上 开启 IPv6 功能 ， 根 据 实验 编 址 表 进 行 相应 的 基本 IPv6 地 址 配置 ， 并 
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使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 


[Rllping ipv6 2001::2 


PING 2001::2 :56 data bytes, press CTRL C to break 


Reply from 2001::2 

bytes=56 Sequence=] hop limit=64 

Reply from 2001::2 

bytes=56 Sequence=2 hop limit=64 

Reply from 2001::2 

bytes=56 Sequence=3 hop limit=64 

Reply from 2001::2 

bytes=56 Sequence=4 hop limit=64 

Reply from 2001::2 

bytes=56 Sequence=5 hop limit=64 
-—- 2001::2 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 


time = 270 ms 
time = 70 ms 
time = 50 ms 
time =40 ms 


time = 40 ms 


round-trip min/avg/max = 40/94/270 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 


2.， 搭建 OSPFv3 网 络 
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在 各 路 由 器 上 创建 OSPFv3 进程 1， 并 在 OSPFv3 进程 中 配置 每 台 路 由 器 的 OSPF 
RouterID。R1、R2、R3、R4 的 Router-ID 分 别 为 1.1.1.1、2.2.2.2、3.3.3.3、4.4.4.4。 


[Rijospfv3 1 
[Rl-ospfv3-1]router-id 1.1.1.1 


[R2]ospfy3 1 
[R2-ospfv3-1]router-id 2.2.2.2 


[R3]ospfv3 1 
[R3-ospfv3-1]router-id 3.3.3.3 


[R4]ospfv3 1 
[R4-ospfv3-1]router-id 4.4.4.4 


如 果 不 配 置 Router-ID，OSPFv3 的 邻居 就 无 法 建立 。 因 为 在 OSPFv3 中 ， 路 由 器 是 
以 Router-ID 作为 标识 的 ， 而 不 是 用 接口 地 址 来 标识 。 

在 接口 下 配置 OSPFv3, 区 域 按 照 图 13-3 划分 的 区 域 进行 配置 , IT 部 门 属于 区 域 1， 
人 事 部 门 属于 区 域 2， 区 域 1 和 区 域 2 通过 骨干 区 域 0 相连。 


[Rllinterface GigabitEthernet 0/0/0 
Ri-GigabitEthernet0/0/0]ospfv3 1 area 0 


[Rllinterface GigabitEthernet 0/0/1 
[RI1-GigabitEthernet0/0/1]ospfvy3 1 area 1 


[R2jinterface GigabitEthernet 0/0/0 
[R2-GigabitEthernet0/0/0]ospfv3 1 area 0 


[R2]interface GigabitEthernet 0/0/1 
[R2-GigabitEthernet0/0/1]ospfy3 1 area 2 
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R3jintertace GigabitEthernet 0/0/1 
BR3-GigabitEthernet0/0/1]ospfv3 1 area 1 


[R3]interface Ethernet 0/0/0 
[R3-Ethernet0/0/0]ospfv3 1 area 1 


[R4|]interface GigabitEthernet 0/0/1 
[R4-GigabitEthernet0/0/1]ospfv3 1 area 2 


[R4]interface Ethernet 0/0/0 
[R4-Ethernet0/0/0]ospfv3 1 area 2 


配置 完成 后 ， 查 看 每 人 台 路 由 器 上 的 OSPFv3 邻居 状态 。 


[Rlldisplay ospfv3 peer 

OSPFV3 Process (1) 

OSPFvV3 Area (0.0.0.0) 

Neighbor ID Pri State Dead Time Interface Instance ID 
2.2.2.2 1 Full/DR 00:00:37 GE0/0/0 0 
OSPFv3 Area (0.0.0.1) 

Neighbor ID Pri State Dead Time Interface Instance ID 
3 1 Full/DR 00:00:36 GEO0/0/1 0 
[R21]display ospfv3 peer 

OSPFv3 Process (1) 

OSPFY3 Area (0.0.0.0) 

Neighbor ID Pri State Dead Time Interface Instance ID 
elsl,l 1 FulVBackup 00:00:32 GE0/0/0 0 
OSPFv3 Area (0.0.0.2) 

Neighbor ID Pri State Dead Time Interface Instance ID 
4.4.4.4 1 Full/DR 00:00:34 GE0/0/1 0 
[R3]display ospfvy3 peer 

OSPFv3 Process (1) 

OSPFv3 Area (0.0.0.1) 

Neighbor ID Pri State Dead Time Interface Instance ID 
e181 1 Full/Backup 00:00:34 GE0/0/1 0 
[R4]display ospfv3 peer 

OSPFv3 Process (1) 

OSPFv3 Area (0.0.0.2) 

Neighbor ID Pri State Dead Time Interface Instance ID 
2.2.2.2 1 Full/Backup 00:00:32 GE0/0/1 0 
可 以 观察 到 ， 所 有 路 由 器 都 成 功 建立 起 了 OSPFv3 邻居 。 

查看 每 台 路 由 器 的 IPv6 路 由 表 。 

[Rlldisplay ipv6 routing-table 


Routing Table : Public 
Destinations ; 9 Routes :9 


Destination :3001:: PrefixLength : 64 
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NextHop : FE80::2E0:FCFF:FE03:1B68 Preference :10 
Cost Cd Protocol : OSPFv3 
RelayNextHop ; :: TunnelID :0x0 
Interface : GigabitEthernet0/0/1 Flags :D 
Destination ;3002:: PrefixLength : 64 
NextHop : FE80::2E0:FCFF:FE03:56F0 Preference :10 
Cost 3 Protocol : OSPFY3 
RelayNextHop : :: TunnelID :0x0 
Interface : GigabitEthernet0/0/0 Flags :D 
[R2]display ipv6 routing-table 
Routing Table : Public 
Destinations : 9 Routes :9 
Destination :3001:: PrefixLength : 64 
NextHop :FE80::2E0:FCFF:FE03:F661 Preference :10 
Cost Gk Protocol : OSPFV3 
RelayNextHop : :: TunnelID :0x0 
Interface : GigabitEthernet0/0/0 Flags We 
Destination :3002:: PrefixLength : 64 
NextHop : FE80::2E0:FCFF:FE03:2906 Preference :10 
Cost :2 Protocol : OSPFV3 
RelayNextHop ; :: TunnelID :0x0 
Interface : GigabitEthemet0/0/1 Flags :D 


[R3]display ipv6 routing-table 
Routing Table : Public 


Destinations : 9 Routes :9 
Destination :3002:: PrefixLength ; 64 
NextHop : FE80::2E0:FCFF:FE03:F662 Preference :10 
Cost :4 Protocol :1OSPFV3 
RelayNextHop : ;: TunnelID :0x0 
Interface :GigabitEthemet0/0/1 Flags :D 
[R4]display ipy6 routing-table 


Routing Table : Public 
Destinations : 9 Routes :9 


Destination :3001:: PrefixLength : 64 
NextHop : FE80::2E0:FCFF:FE03:56F1 Preference :10 

Cost :4 Protocol :OSPFV3 
RelayNextHop ; :: TunnelD :0x0 
Interface : GigabitEthernet0/0/1 Flags :D 


可 以 观察 到 ， 各 个 路 由 器 之 间 相 互 接收 到 了 添加 进 OSPFv3 进程 接口 所 在 网 段 的 路 
由 条 目 。 
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在 PC-1 上 测试 与 PC-2 间 的 连通 性 。 
PC>ping 3002::1 
Ping 3002::1: 32 data bytes, Press Ctr] C to break 
From 3002::1: bytes=32 seq=l hop limit=64 time=47 ms 
From 3002::1: bytes=32 seq=2 hop limit=64 time=32 ms 
From 3002::1: bytes=32 seq=3 hop limit=64 time=31 ms 
From 3002::1: bytes=32 seq=4 hop limit=64 time=31 ms 
From 3002::1: bytes=32 seq=5 hop limit=64 time=31 ms 
--- 3002::1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round.-trip min/avg/max = 31/34/47 ms 
此 时 主机 PC-1 和 PC-2 可 以 通过 OSPFv3 路 由 协议 进行 通信 。 
3， 验 证 OSPFv3 建立 邻居 的 特性 
在 Rl 的 GE 0/0/0 接口 下 删除 之 前 配置 的 IPv6 地 址 。 


[Rllinterface GigabitEthernet 0/0/0 
[RI-GigabitEthernet0/0/0jundo ipv6 address 


配置 完成 后 ， 在 R1 上 使 用 display ospfv3 peer 命令 查看 2 


[Rl]display ospfv3 peer 

OSPFV3 Process (1) 

OSPFYV3 Area (0.0.0.1) 

Neighbor ID Pri State Dead Time Interface Instance ID 
3333 1 Ful/DR 00:00:36 GE0/0/1 0 


可 以 观察 到 ， 此 时 R1 上 已 经 没有 与 R2 间 的 邻居 关系 。 
在 Rl 的 GE 0/0/0 接口 上 配置 与 R2 直 连 接口 所 在 Pv6 网 段 不 同 前 缀 的 IPv6 地 址 
2009::1/64。 


[Rllinterface GigabitEthernet 0/0/0 
[R1-GigabitEthernet0/0/0l]ipv6 address 2009::1 


配置 完成 后 ， 在 R1 上 使 用 ,display ospfv3 peer 命令 查看 邻居 关系 。 


[Rl]display ospfv3 peer 

OSPFv3 Process (1) 

OSPFvV3 Area (0.0.0.0) 

Neighbor ID Pri State Dead Time Interface Instance ID 
D002 1 Full/DR 00:00:31 GE0/0/0 0 
OSPFv3 Area (0.0.0.1) 

Neighbor ID Pri State Dead Time Interface Instance ID 
3388 1 FulV/DR 00:00:34 GE0/0/1 


可 以 观察 到 R1 与 R2 仍然 能 建立 邻居 关系 。 这 是 因为 OSPFv3 的 邻居 关系 建立 是 
过 Link-Local 地 址 来 实现 的 , 即 链 路 上 两 端的 IPv6 地 址 即使 拥有 不 同 的 前 缀 也 可 以 建立 
邻居 关系 , 而 OSPFv2 在 同一 链 路 上 必须 要 使 用 相同 网 段 的 IPv4 地 址 才能 建立 邻居 关系 。 

在 Rl 上 查看 GE 0/0/0 接口 上 的 Link-Local 地 址 。 

[Rl]display ipv6 interface GigabitEthernet 0/0/0 

GigabitEthernet0/0/0 current state : UP 

IPv6 protocol current state : UP 
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IPv6 is enabled, link-local address is FE80::2E0:FCFF:FE03:330F 
Global unicast address(es): 


当 通 过 改变 接口 的 了 Pv6 地 址 时 ，Link-Local 地 址 是 不 会 改变 的 ， 所 以 R1 与 R2 的 
OSPFv3 邻居 关系 仍然 可 以 建立 起 来 。 


思考 


在 本 实验 中 ，OSPFv3 协议 修改 了 全 球 单 播 地 址 ， 邻 居 关 系 未 受 影响 ， 请 问 各 网 络 
闻 的 通信 是 否 正常 ? 从 此 处 能 够 得 到 什么 启示 ? 
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14.1 实现 eNSP 与 真实 PC 桥接 


原理 概述 


eNSP 不 仅 支 持 单机 部 署 ， 同 时 还 支持 Server 端 分 布 式 部 署 在 多 台 服 务 器 上 ， 分 布 
式 部 赦 环 境 下 能 够 支持 更 多 设备 组 成 复杂 的 大 型 网 络 。eNSP 还 可 与 真实 设备 对 接 ， 通 
过 虚拟 设备 接口 与 真实 网 卡 的 绑 定 ， 实 现 虚拟 设备 与 真实 设备 的 对 接 ， 进 而 实现 虚拟 网 
络 与 真实 网 络 的 互 连 互通 。 


实验 内 容 


本 实验 将 介绍 如 何 使 用 eNSP 中 的 云 设 备 实现 模拟 器 与 真实 电脑 的 桥接 ， 实 现 与 真 
实 电脑 或 其 他 设备 间 的 正常 通信 。 


实验 目的 


。 掌握 在 eNSP 中 使 用 云 设备 与 虚拟 PC 连接 的 方法 
。 掌握 在 eNSP 中 使 用 云 设备 与 真实 PC 上 的 物理 网 卡 桥接 的 方法 


实验 步骤 
1. 配置 云 设备 
双击 eNSP 图 标 ， 打 开 模 拟 器 ， 选 择 界面 左 侧 Cloud 栏 的 “ 云 设备 ”图 标 ， 拖 进 拓 
扑 图 中 ， 如 图 14-1 所 示 。 
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CLOUD1 

可 动态 配置 设备 接 | 
3 映射 

所 


图 14-1 选取 设备 
在 云 设备 图 标 上 单 击 和 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “设置 ” 命令 ,如 图 14.2 所 示 。 
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Cloud: 
可 动态 配置 设备 接 ， 
口 ， 管 理 端 口 映射 | 
规则 ， 将 端口 与 真 
实 网 卡 绑 定 。 





4 


L 

进入 云 设 置 界面 后 , 创建 一 个 端口 。 在 “ 绑 定 信息 ”下 拉 列 表 中 选择 “UDP”, 在 “ 端 
口 类 型 ”下 拉 列 表 中 选择 “Ethernet”， 然 后 单 击 “ 增 加 ”按钮 ， 新 创建 端口 的 信息 将 会 
出 现在 端口 信息 表 中 ， 序 列 号 为 1， 如 图 14-3 所 示 。 





: (ss 
六 口内 型: 











14-3 ”创建 端口 


创建 另外 一 个 端口 。“ 绑 定 信息 ”选择 真实 PC 中 任意 一 个 网 卡 地 址 , 这 里 选择 了 PC 中 
的 无 线 网 卡 ，IP 地 址 为 192.168.6.33, “端口 类 型 ”仍然 选择 “Ethermet”， 如 图 14-4 所 示 。 
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图 144 创建 端口 
单 击 “ 增 加 ”按钮 ， 端 列表 中 会 显示 第 2 个 端口 的 信息 ， 如 图 14-5 所 示 。 














14-5 ”创建 端口 


接 下 来 在 “端口 映射 设置 ” 栏 中 创建 端口 的 映射 关系 。 在 “入 端口 编号 ”下 拉 列 表 
中 选择 “2” 也 就 是 刚才 所 创建 的 对 应 真实 PC 上 无 线 网 卡 的 端口 ， 将 “出 端口 编号 ” 
选择 为 “1”， 选 中 “双向 通道 ” 复 选 框 ， 然 后 单 击 “ 增 加 ”按钮 ， 即 可 添加 到 右 侧 的 “ 端 
口 映 射 表 ”中 ， 如 图 14-6 所 示 。 
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图 14-6 创建 端口 映射 关系 
端口 的 映射 关系 表 说 明了 模拟 器 的 设备 与 真实 的 PC 之 间 的 通信 连接 方式 ， 指 明了 
数据 从 哪个 接口 发 送 ， 从 哪个 接口 接收 。 
2. 为 模拟 器 添加 设备 ， 实 现 与 真实 设备 的 桥接 
在 eNSP 模拟 器 中 添加 一 台 虚 拟 PC， 使 用 线 缆 连接 到 云 设 备 的 EE 0/0/1 接口 ， 如 图 





桨 mz 于 = 让 关闭 


Ethernet 0/0/1 


Ethernet 0/0/1 
CLIENTI1 





A 


图 14-7 添加 虚拟 PC 
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为 eNSP 模拟 器 中 的 PC 设置 全 地 址 为 192.168.6.1， 子 网 掩 码 为 255.255.255.0 (该 
地 址 要 配置 成 与 真实 电脑 的 卫 地 址 为 同一 网 段 )， 如 图 14-8 所 示 。 


1 
0 
x 


CLIENTA 


散 548 加 命令 行 组 所 UDP 发 包工 具 

主机 名 : 

MAC 地 址 ; S3-89-S3S-CF-58- 刀 
iPx4 想 置 

本 静态 DHCP 

轨 地 址 : 192 ,168 ,6 ，1! DNS1: BE 本 BS 贡 
子 网 接 码 : 285 ,255 5S .0 DNS2: oo 0 
网 关 : Dio 0 .0 

IPv6 配置 

名 前 态 DHCPY6 

1Py6 地 址 : 


前 绢 长 度 : 123 
IPv6 网 关 : 


图 14-8 PC 配置 界面 
3. 验证 模拟 器 中 的 PC 与 真实 PC 之 间 的 连通 性 
在 真实 PC 上 使 用 ping 命令 ， 验 证 与 模拟 器 中 虚拟 PC 间 的 连通 性 ， 观 察 到 可 以 连 
通 ， 如 图 14-9 所 示 。 





管理 员 : C:\Windows\system32\cmd.exe 
icrosoft Windows [i 况 本 6.1.?688] 
有 “cy 2889 Microsoft Corporation 


GC:Nisersv\Eric ping 192.168.6.1 


ing 192.168.6. 
5 二 


8 《68x 于 壬 > 


CNsers\Eric>, 





图 14-9 测试 与 虚拟 PC 间 的 连通 性 
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在 模拟 器 中 使 用 ping 命令 ,验证 与 真实 PC 间 的 连通 性 ,观察 到 可 以 连通 ,如 图 14-10 
所 示 。 


又 CLIENT1 er 


lcome tc PC Si 


We 





图 14-10 ”测试 与 真实 PC 间 的 连通 性 
至 此 ， 成 功 实 现 了 真实 PC 通过 eNSP 中 云 设备 的 桥接 功能 与 虚拟 PC 间 的 通信 。 


14.2 SNMP 基础 配置 


原理 概述 


随 着 网 络 规模 的 日 益 发 展 ， 现 有 的 网 络 中 ， 设 备 数量 日 益 庞大 。 当 这 些 设备 发 生 故 
障 时 ， 由 于 设备 无 法 主动 上 报 故 障 ， 导 致 网 络 管理 员 无 法 及 时 感知 、 定 位 和 排除 故障 ， 
从 而 导致 网 络 的 维护 效率 降低 ， 维 护 工 作 量 大 大 增加 。 

为 了 解决 这 个 问题 ， 设 备 制 造 商 已 经 在 一 些 设 备 中 提供 了 网 络 管理 的 功能 ， 这 样 网 
管 就 可 以 远程 查看 设备 的 状态 ， 同 样 ， 设 备 也 能 够 在 特定 类 型 的 事件 发 生 时 向 网 络 管理 
工作 站 发 出 警告 。SNMP 〈Simple Network Management Protocol， 简 单 网 络 管理 协议 ) 就 
是 规定 网 管 站 和 设备 之 闻 如 何 传递 管理 信息 的 应 用 层 协议 。SNMP 定义 了 网 管 管理 设备 
的 几 种 操作 ， 以 及 设备 故障 时 能 向 网 管 主动 发 送 告警 。 网 络 管理 使 用 SNMP 协议 时 存在 
网 络 管理 站 (NMS)、 代 理 进程 (Agent〉 和 被 管理 设备 3 个 角色 。 

国 网 络 管理 站 (NMS): 向 被 管理 设备 发 送 各 种 查询 报 文 ， 以 及 接收 被 管理 设备 发 
送 的 告警 ; 

国 代理 进程 (Agent): 是 被 管理 设备 上 的 一 个 代理 进程 ， 用 于 维护 被 管理 设备 的 信 
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息 数 据 并 响应 来 自 NMS 的 请 求 ， 把 管理 数据 汇报 给 发 送 请 求 的 NMS。Agent 的 作用 为 
接收 、 解 析 来 自 网 管 站 的 查询 报 文 ， 根据 报 文 类 型 对 管理 变量 进行 Read 或 Write 操作 ， 
并 生成 响应 报 文 ， 返 回 给 网 管 站 ; 根据 各 协议 模块 对 告警 触发 条 件 的 定义 ， 在 达到 触发 
条 件 后 ， 如 进入 、 退 出 系统 视图 或 设备 重新 启动 等 ， 相 应 的 模块 通过 Agent 主动 向 网 管 
站 发 送 告 警 ， 报 告 所 发 生 的 事件 ; 

国 被 管理 设备 : 接受 网 管 的 管理 ， 产 生 和 主动 上 报告 警 。 


实验 内 容 


本 实验 模拟 真实 网 络 场景 。 在 网 络 当中 分 别 部 署 了 两 台 管 理 站 设备 (NMS ) 和 一 台 
代理 站 设备 〈Agent)， 分 别 使 用 两 台 PC 来 模拟 NMS; 一 台 路 由 器 来 模拟 Agent。 本 实 
验 将 介绍 如 何 配置 Agent 设备 、 版 本 ， 配 置 管理 站 及 用 户 权 限 ， 了 解 SNMP 协议 的 作用 
及 管理 方法 。 被 管理 的 设备 可 以 是 路 由 器 、 服 务 器 、 交 换 机 、 主 机 等 设备 ， 一 般 与 Agent 
部 署 在 同一 网 络 。 


实验 目的 


e 理解 SNMP 应 用 场景 

e 掌握 配置 SNMP Agent 的 方法 

。 掌握 配置 SNMP 版 本 的 方法 

e 掌握 配置 管理 站 、 用 户 权 限 的 方法 




















实验 拓扑 
SNMP 基础 配置 的 拓扑 如 图 14-11 所 示 。 
Bes Ethernet 0/0/1 
NMS-1 
| 
Ethernet 0/0/2 = Ethernet 0/0/1 于 
Ethernet 0/0/3 = GE 0/0/0 
S-1 O11254 Agent 
i Ethernet 0/0/1 
NMS-2 
[也 
图 14-11 SNMP 基础 配置 拓扑 
实验 编 址 


实验 编 址 见 表 14-1。 
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表 14-1 实验 编 址 











NMS-2 
Agent (AR2220) 






实验 步骤 


1. 基本 配置 
将 两 台 PC 模拟 成 管理 站 ， 分 别 为 NMS-1、NMS-2， 根 据 实 验 编 址 表 配置 设备 名 称 
及 人 P 地址 ， 并 验证 连通 性 。 
[Agentjping 10.1.1.1 
PING 10.1.1.1: 56 data bytes, press CTRL_C to break 
Reply from 10.1.1.1: bytes=56 Sequence=] ttl=128 time=550 ms 
Reply from 10.1.1.1: bytes=56 Sequence=2 ttl=128 time=200 ms 
Reply from 10.1.1.1: bytes=56 Sequence=3 ttl=128 time=150 ms 
Reply from 10.1.1.1: bytes=56 Sequence=4 ttl=128 time=90 ms 
Reply from 10.1.1.1: bytes=56 Sequence=5 tt]=128 time=120 ms 
—- 10.1.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 90/222/550 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2. 开启 Agent 服务 
将 路 由 器 模拟 为 代理 站 设备 ， 需 要 为 其 启动 SNMP Agent 服务 。 
[Agentljsnmp-agent 
配置 完成 后 使 用 display snmp-agent sys-info 命令 查看 SNMP 信息 。 


[Agentjdisplay snmp-agent sys-info 
The contact person forthis managed node: 
R&D Shenzhen, Huawei Technologies Co., Ltd. 
The physical location of this node: 
Shenzhen China 
SNMP version running in the system: 
SNMPv1 SNMPv2c SNMPv3 


显示 当前 默认 情况 下 所 运行 的 SNMP 版 本 为 v1、v2c、v3。 

3， 配置 SNMP 版 本 

SNMP 一 共有 3 个 版 本 ， 分 别 为 v1、v2c、v3， 开 启 SNMP 服务 后 默认 同时 兼容 3 
个 版 本 。 当 网 络 规模 较 小 且 安全 性 较 高 时 ， 在 规划 时 可 配置 设备 使 用 SNMPv1 版 本 与 网 
管 进 行 通信 ; 当 网 络 规模 较 大 ， 安 全 性 较 高 时 ， 但 运行 的 业务 较为 繁忙 ， 在 规划 时 配置 
设备 使 用 SNMPv2c 版 本 与 网 管 进行 通信 ;， 当 网 络 规模 较 大 且 安 全 性 较 低 时 ， 在 规划 时 
配置 设备 使 用 SNMPv3 版 本 与 网 管 进行 通信 ， 并 配置 认证 和 加 密 功能 保证 安全 性 。 

根据 实际 网 络 需求 ， 使 用 snmp-agent sys-info 命令 配置 SNMP 版 本 ， 本 例 中 使 用 
SNMPYv3 版 本 。 


[Agentlsnmp-agent sys-info version v3 


配置 完 后 查看 Agent 信息 。 
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[Agentldisplay snmp-agent sys-info version 
SNMP version running in the system: 
SNMPv3 


显示 当前 运行 的 SNMP 版 本 为 v3。 

由 于 SNMPv3 版 本 适用 于 大 型 网 络 规模 ， 且 可 以 配置 认证 加 密 ， 在 实际 工作 环境 下 
通常 使 用 该 版 本 。 

4. 配置 NMS 管理 权限 

如 果 网 络 中 不 止 一 个 管理 站 用 户 ， 可 以 根据 业务 需要 ， 为 不 同 管理 站 用 户 设置 不 同 
的 访问 权限 。 本 实验 中 有 两 个 管理 站 用 户 ， 现 仅 允 许 NMS-2 可 以 管理 设备 。 

配置 基本 ACL， 限 制 NMS-2 管理 设备 、NMS-1 不 允许 管理 设备 。 

[Agent]acl 2000 


[Agent-acl-basic-2000]rule 5 permit source 10.1.1.2 0.0.0.255 
[Agent-acl-basic-2000]rule 10 deny source 10.1.1.1 0.0.0.255 


配置 用 户 组 为 group， 用 户 名 为 user， 指 定 使 用 ACL2000。 


[Agentlsnmp-agent usm-user v3 User group acl 2000 


配置 完成 后 ， 查 看 SNMPv3 的 用 户 信息 。 
[Asgentjdisplay snmp-agent usm-user 
User name: user 

Engine ID: 800007DB03000000000000 


Group name: group 
Authentication mode: No authentication mode, Privacy mode: No privacy mode 
Storage type: nonVolatile 
User status: active 
Acl: 2000 
Total number is 1 


可 以 观察 到 ， 配 置 已 经 生效 。 

5， 配 置 向 SNMP Agent 输出 Trap 信息 

网 络 管理 员 需 要 查看 被 管理 者 产生 的 Trap 信息 , 以 便 监 控 设 备 运行 情况 及 定位 故障 
信息 。 

配置 Agent 发 送 Trap 消息 。 用 于 接收 该 Trap 消息 的 网 管 名 为 adminNMS2， 目 标 地 
址 为 10.1.1.2， 且 指定 接收 该 消息 使 用 UDP 端口 为 9991。Trap 消息 的 发 送 参 数 信息 列表 
名 称 为 ttapNMS2。 

[Agentlsnmp-agent target-host trap-hostname adminNMS2 address 10.1.1.2 udp-port 9991 trap-paramsname trapNMS2 

开启 设备 的 告警 开关 。 只 有 将 该 开关 打开 以 后 ，Agent 才 会 向 网 管 站 发 送 告警 消息 。 

[Agentlsnmp-agent trap enable 

Info: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y 

设置 告警 消息 的 队列 长 度 为 200〈 默 认 值 为 100)。 如 果 某 个 时 间 段 trap 报 文 消 息 很 
多 ， 为 防止 丢 包 ， 可 以 设置 增加 消息 队列 长 度 以 便 减 少 丢 包 的 情况 发 生 。 

[Agentjsnmp-agent trap queue-size 200 

设置 报 文 消息 的 保存 时 间 为 240 秒 〈 默 认 值 为 120)。 该 值 是 Trap 报 文 消息 的 生存 
时 间 ， 如 果 超 过 该 时 间 报 文 将 会 被 丢弃 ， 不 再 发 送 ， 也 不 再 保存 。 

[Agentjsnmp-agent trap life 240 

为 了 便于 维护 ， 配 置 管理 员 的 联系 方式 ， 电 话 为 400-822-9999， 地 址 为 中 国 深圳 。 


[Agentjsnmp-agent sys-info contact call admin 400-822-9999 
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[Agentlsnmp-agent sys-info location ShenZhen China 
配置 完 后 使 用 display snmp-agent sys-info 命令 查看 相关 的 系统 信息 。 


[Agentldisplay snmp-agent sys-info 
The contact person for this managed node: 
call admin 400-822-9999 
The physical location of this node: 
ShenZhen China 
SNMP version running in the system: 
SNMPv3 
查看 SNMP Agent 输出 网 管 的 信息 。 
[Agentjdisplay snmp-agent target-host 
Traphost list: 
Target host name: admin NMS2 
Traphost address: 10.1.1.2 
Traphost portnumber: 9991 
Targethost parameter: trapNMS2 
Total number is 1 
Parameter list trap target host: 
Total number is 0 


配置 完成 后 通过 命令 可 以 观察 到 Trap 目标 主机 名 为 adminNMS2, 主机 地 址 10.1.1.2， 
主机 端口 为 9991， 目 标 主 机 参数 列表 名 为 trapNMS2。 


14.3 ”GRE 协议 基础 配置 


原理 概述 


GRE (Generic Routing Encapsulation， 通 用 路 由 封装 协议 ) 提供 了 将 一 种 协议 的 报 
文 封装 在 男 一 种 协议 报 文中 的 机 制 ， 使 报 文 能 够 在 异种 网 络 (如 IPv4 网 络 ) 中 传输 ， 而 
异种 报 文 传输 的 通道 称 为 Tunnel。 

GRE 协议 也 可 以 作为 VPN 的 第 三 层 隧道 Tunnel) 协议， 为 VPN 数据 提供 透明 传 
输 通道 。Tunnel 是 一 个 虚拟 的 点 对 点 的 连接 ， 可 以 看 成 仅 支 持 点 对 点 连接 的 虚拟 接口 ， 
这 个 接口 提供 了 一 条 通路 ， 使 封装 的 数据 报 能 够 在 这 个 通路 上 传输 ， 并 在 一 个 Tunnel 
的 两 端 分 别 对 数据 报 进行 封装 及 解 封 装 。 
实验 目的 

e 理解 GRE 协议 的 使 用 场景 

e 掌握 配置 GRE 隧道 的 方法 

。 掌握 配置 基于 GRE 接口 的 动态 路 由 协议 的 方法 
实验 内 容 

本 实验 模拟 企业 网 络 场景 。R1 为 企业 总 部 的 网 关 设 备 ， 并 且 内 部 有 一 台 服 务 器 ， 
R3 连接 着 企业 分 公司 的 网 关 设 备 ，R2 为 公 网 ISP 设备 。 一 般 情况 下 ， 运 营 商 只 会 维护 
自身 的 公 网 路 由 信息 ， 而 不 会 维护 企业 内 部 私 网 的 路 由 信息 ， 即 运营 商 设 备 上 的 路 由 表 
中 不 会 出 现任 何 企业 内 部 私 网 的 路 由 条 目 。 通 过 配置 GRE 实现 公司 总 部 和 分 部 间 私 网 路 
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由 信息 的 透 传 及 数据 通信 。 
实验 拓扑 
GRE 协议 基础 配置 的 拓扑 如 图 14-12 所 示 。 
> 
民 A 


_ AN 
Serial 1/0/0, R2 “Serial 1/0/1 






Ethernet 2/0/0 


Etheret 0/0/0 





Server 


图 14-12 ”GRE 协议 基础 配置 拓扑 


实验 编 址 


实验 编 址 见 表 14-2。 
表 14-2 实验 编 址 


设 各 成 地 十 子 网 捷 码 加 认 网 关 
Server Ethernet 0/0/0 192.168.10.10 255.255.255.0 192.168.10.1 
R1 (AR2220) ert 2/0/0 192.168.10.1 255.235.25530 N/A 
Serial 1/0/0 10.L 2.1 255.255:253;0 N/A 
Serial 1/0/0 L03122 255.255.255.0 N/A 
220) | Serialloo | 
RAR Serial 1/0/1 10.1.23.2 255.255.255.0 N/A 
Serial 1/0/0 10.1.23.1 255.2552350 N/A 
Eo 2 Ethernet 2/0/0 192.168.20.1 255.255.255.0 N/A 
EG Ethernet 0/0/1 192.168.20.20 255.255.255.0 192.168.20.1 


实验 步骤 


1. 基本 配置 
根据 实验 编 址 表 进 行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连 
通 性 。 
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<Rl>ping -¢ 1 192.168.10,10 
PING 192.168.10.10: 56 data bytes, press CTRL_C to break 
Reply from 192.168.10.10: bytes=56 Sequence=]l ttl=255 time=510 ms 
--- 192.168.10.10 ping statistics --~ 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 510/510/510 ms 


其 余 直 连 网 段 的 连通 性 测试 省 略 。 
在 Rl 和 R3 上 分 别 配 置 访问 公 网 路 由 器 R2 的 默认 路 由 。 


[Rl1]ip route-static 0.0.0.0 0.0.0.0 10.1.12.2 


[R3]ip route-static 0.0.0.0 0.0.0.0 10.1.23.2 . 

配置 完成 后 在 PC 上 测试 与 总 部 服务 器 间 的 连通 性 。 
PC>ping 192.168.10.10 

Ping 192.168.10.10: 32 data bytes, Press Ctrl_C to break 

Request timeout! 

Request timeout! 

Request timeout! 

Request timeotit! 

Request timeout! 


可 以 观察 到 ， 跨 越 了 互联 网 的 两 个 私 网 网 段 之 间 默 认 是 无 法 直接 通信 的 。 此 时 可 以 
通过 GRE 协议 来 实现 通信 。 

2. 配置 GRE Tunnel 

在 路 由 器 R1 和 R3 上 配置 GRE Tunnel， 使 用 interface tunnel 命令 创建 隧道 接口 ， 
指定 隧道 模式 为 GRE。 配 置 R1 Tunnel 接口 的 源 地 址 为 其 S 1/0/0 接口 卫 地 址 ， 目 的 地 
址 为 R3 的 S 1/0/0 接口 IP 地 址 ， 配置 R3 Tunnel 接口 源 地 址 为 其 S 1/0/0 接口 IP 地 址 ， 
目的 地 址 为 R1 的 S 1/0/0 接口 IP 地 址 。 还 要 使 用 ip address 命令 配置 Tunnel 接口 的 人 P 
地 址 ， 注 意 要 在 同一 网 段 。 

[Rllinterface tunnel 0/0/0 

[R1-Tunnel0/0/0]tunnel-protoco] gre 

[R1-Tunnel0/0/0]source 10.1.12.1 


[R1-Tunnel0/0/0]destination 10.1.23.1 
[R1-Tunnel0/0/0Jip address 172.16.1.1 24 


[R3jinterface tunnel 0/0/0 
[R3-Tunnel0/0/0]tunnel-protoco] gre 
[R3-Tunnel0/0/0]source 10.1.23.1 
[R3-Tunnel0/0/0]destination 10.1.12.1 
ER3-Tunnel0/0/0]ip address 172.16.1.2 24 
配置 完成 后 ， 在 R1 上 测试 本 端 隧道 接口 地 址 与 目的 端口 隧道 接口 地 址 的 连通 性 。 
[Rllping -a 172.16.1.1 172.16.1.2 
PING 172.16.1.2: 56 data bytes, press CTRL C to break 
Reply from 172.16.1.2; bytes=56 Sequence=l ttl=255 time=60 ms 
Reply from 172.16.1.2: bytes=56 Sequence=2 ttl=255 time=60 ms 
Reply from 172.16.1.2: bytes=56 Sequence=3 ttl=255 time=50 ms 
Reply from 172.16.1.2: bytes=56 Sequence=4 ttl=255 time=50 ms 
Reply from 172.16.1.2: bytes=56 Sequence=5 tt]=255 time=60 ms 
-一 172.16.1.2 ping statistics --- 
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5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 50/56/60 ms 


可 以 观察 到 ， 通 信和 正常 。 
在 R1 和 R3 上 分 别 执行 display interface tunnel 命令 查看 隧道 接口 状态 。 


[Rlldisplay interface Tunnel 0/0/0 

Tunnel0/0/0 current state : UP 

Line protocol current state : UP 

Last line protocol up time : 2013-05-29 15:36:53 UTC-08:00 
Description: 

Route Port,The Maximum Transmit Unit is 1500 

Internet Address js 172.16.1.1/24 

Encapsulation is TUNNEL, loopback not set 

Tunnel source 10.1.12.1 (Seriall/0/0), destination 10.1.23.1 
Tunnel protocol/transport GRE/IP, key disabled 

keepalive disabled 


[R3]display interface Tunnel 0/0/0 

Tunnel0/0/0 current state : UP 

Line protocol current state : UP 

Last line protocol up time : 2013-05-29 16:06:09 UTC-08:00 
Description: 

Route PorbThe Maximum Transmit Unit is 1500 

Internet Address is 172.16.1.2/24 

Encapsulation is TUNNEL, loopback not set 

Tunnel source 10.1.23.1 (Seriall/0/0), destination 10.1.12.1 
Tunnel protocol/transport GRE/IP, key disabled 

keepalive disabled 


可 以 观察 到 ， 当 前 隧道 接口 的 物理 层 状 态 为 正常 启动 状态 ， 链 路 层 协 议 状态 为 正常 
运行 状态 ， 隧 道 封装 协议 为 GRE 协议 ，Tunnel 的 人 PP 地 址 及 所 配置 的 隧道 源 和 目的 地 址 
分 别 为 Rl 和 R3 的 S1/0/0 接口 地 址 。 

在 Rl 和 R2 上 执行 display ip routing-table 命令 查看 路 由 表 。 


区 1jdisplay ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 10 Routes : 10 
Destination/Mask Proto Pre Cost Flags NextHop Interface 

0.0.0.0/0 Static 60 0 RD 10.1.12.2 Seriall/0/0 
10.1.12.0/24 Direct 0 0 D 10.1.12.1 Seriall/0/0 
10.1.12.1/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
10.1.12.2/32 Direct 0 0 D 10.1.12.2 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.1 Tunnel0/0/0 
172.16.1.1/32 Direct 0 0 D 127.0.0.1 Tunnel0/0/0 
192.168.10.0/24 © Direct 0 0 D 192.168.10.1 Ethemet2/0/0 
192.168.10.1/32 Direct 0 0 D 


127.0.0.1 Ethemet2/0/0 
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[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 10 Routes ; 10 
Destination/Mask Proto Pre Cost Flags NextHop Interface 

0.0.0.0/0 Static 60 0 RD 10.1.23.2 Seriall/0/0 
10.1.23.0/24 Direct 0 0 D 10.1.23.1 Seriall/0/0 
10.1.23.1/32 Direct 0 0 D 127.0.0.1 Serial1/0/0 
10.1.23.2/32 Direct 0 0 D 10.1.23.2 Seriall/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.2 Tunnel0/0/0 
172.16.1.2/32 Direct 0 0 D 127.0.0.1 Tunnel0/0/0 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 Ethernet2/0/0 
192.168.20.1/32 Direct 0 D 127.0.0.1 Ethernet2/0/0 


可 以 观察 到 ，R1 和 R3 的 路 由 表 中 己 经 有 所 配置 隧道 接口 的 路 由 条 目 。 即 R1 和 R3 
间 已 经 形成 了 类 似 点 到 点 直 连 的 逻辑 链 路 ， 但 没有 互相 接收 到 对 方 的 私 网 路 由 信息 。 

3. 配置 基于 GRE 接口 的 动态 路 由 协议 

经 过 上 面 的 步骤 , R1 和 R3 之 间 的 GRE 隧道 已 经 建立 , 测试 分 部 PC 与 总 部 服务 器 
间 的 连通 性 。 

PC>ping 192.168.10.10 

Ping 192.168.10.10: 32 data bytes, Press Ctrl_C to break 

Request timeout! 

Request timeout! 

Request timeout! 


Request timeout! 
Request timeout! 


We 


仍然 无 法 正常 通信 。 原 因 是 目前 还 没有 配置 基于 GRE 隧道 接口 的 路 由 协议 。GRE 
协议 支持 组 播 数据 的 传输 ， 因 此 可 以 支持 一 些 动态 路 由 协议 的 运行 ， 动 态 路 由 协议 通过 
GRE 协议 形成 的 逻辑 隧道 在 R1 和 R3 间 传 递 路 由 信息 。 

在 Rl 和 R3 上 配置 RIPv2 协议 ， 通 告 相 应 的 私 网 网 段 和 Tunnel 接口 所 在 网 络 。 

[Rl1lrip I 

re 放 2 

[Rl-rip-l]network 192.168.10.0 

[Rl-rip-l]network 172.16.0.0 


[R3Jrip 1 

[R3-rip-l]version 2 

[R3-rip-l]network 192.168.20.0 
[R3-rip-lInetwork 172.16.0.0 

分 别 在 Rl 与 R3 上 查看 RIP 邻居 。 
[Rlldisplay rip 1 neighbor 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


172.16.1.2 Tunnel0/0/0 RIP 0:0:7 
Number of RIP routes :1 


[R3]display rip 1 neighbor 
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Last-Heard-Time 


172.16.1.1 Tunnel0/0/0 RIP 
Number ofRIProutes :1 


可 以 观察 到 ， 此 时 双方 都 已 经 通过 隧道 接口 建立 了 RIP 邻居 关系 。 
查看 路 由 器 R1 和 R3 路 由 表 。 

[Rl]display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Interface Type 


Destinations : 11 Routes : 11 
Destination/Mask Proto Bre Got Flags NextHop Interface 
0.0.0.0/0 Static 60 0 RD 10.1.12.2 Serial1/0/0 
10.1.12.0/24 Direct 0 0 D 10.1.12.1 Serial1/0/0 
10.1.12.1/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
10.1.12.2/32 Direct 0 0 D 10.1.12.2 Serial1/0/0 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 ”Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172.16.1.1 Tunnel0/0/0 
172.16.1.1/32 Direct 0 0 D 127.0.0.1 Tunnel0/0/0 
192.168.10.0/24 Direct 0 0 D 192.168.10.1 Ethemet2/0/0 
192.168.10.1/32 Direct 0 0 D 127.0.0.1 Ethemet2/0/0 
192.168.20.0/24 RIP 100 1 D 172.16.1,2 Tunnel0/0/0 
[R3]display ip routing-table 
Route Flags: R - relay, D - download to fib 
Routing Tables: Public 
Destinations : 11 Ronutes : 11 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
0.0.0.0/0 Static 60 0 RD 10.1.23.2 Seriall/0/0 
10.1.23.0/24 了 Direct 0 0 D 10.1.23.1 Seriall/0/0 
10.1.23.1/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
10,1.23.2/32 Direct 0 0 D 10.1.23.2 Seriall/0/0 
127.0.0.0/8 ”Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 Direct 0 0 D 172:16.1.2 Tunnel0/0/0 
172.16.1.2/32 Direct 0 0 D 127.0.0.1 Tunnel0/0/0 
192.168.10.0/24 RIP 100 1 D 172.16.1.1 Tunnel0/0/0 
192.168.20.0/24 Direct 0 0 D 192.168.20.1 Ethernet2/0/0 
192.168.20.1/32 Direct 0 0 D 127.0.0.1 Ethernet2/0/0 


可 以 观察 到 ， 双 方 都 能 接收 到 各 自 内 部 私有 网 络 发 送 过 来 的 路 由 更 新 。 


在 分 公司 PC 上 测试 与 总 公司 Server 间 的 连通 性 。 


PC>ping 192.168.10.10 


Ping 192.168.10.10: 32 data bytes, Press Ctrl_C to break 

From 192.168.10.10: bytes=32 seq=] ttl=126 time=47 ms 
From 192.168.10.10: bytes=32 seq=2 ttl=126 time=46 ms 
From 192.,168,10.10: bytes=32 seq=3 ttl=126 time=47 ms 
From 192.168.10.10: bytes=32 seq=4 ttl=126 time=62 ms 
From 192.168,10.10: bytes=32 seq=5 ttl=126 time=47 ms 


--- 192.168.10.10 ping statistics --- 


5 packet(s) transmitted 
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5 packet(S) received 
0.00% packet loss 
round-trip min/avg/max = 46/49/62 ms 
可 以 观察 到 ， 通 信和 正常 。 查 看 路 由 器 R2 的 路 由 表 。 
[R21]display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 8 Routes :8 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.12.0/24 Direct 0 0 D 10.1.12.2 Seriall/0/0 
10.1.12.1/32 Direct 0 D IO Seriall/0/0 
10.1.12.2/32 Direct 0 0 D 127.0.0.1 Seriall/0/0 
10.1.23.0/24 Direct 0 0 D 10.1.23.2 Seriall/0/1 
10.1.23.1/32 Direct 0 0 D023 Seriall/0/1 
10.1.23.2/32 Direct 0 0 D 127.0.0.1 Seriall/0/1 
127.0.0.0/8 Direct 0 0 D 127.0.0.1l InLoopBack0 
127.0.0.1/32 Direct 0 0 127.0.0.1 JnLoopBack0 


可 以 观察 到 R2 上 没有 任何 R1 和 的 各 自私 网 网 段 的 路 由 信息 。 说 明 通 过 GRE 
协议 建立 起 来 的 隧道 ， 能 够 跨 公 网 传递 各 个 内 部 私有 网 络 的 路 由 信息 ， 实 现 了 两 个 私有 
网 络 间 的 跨 公 网 通信 。 


思考 


GRE 是 一 种 三 层 隧道 协议 , 可 以 形成 逻辑 的 点 到 点 直 连 隧道 , 支持 组 播 数据 的 传输 ， 
但 是 它 的 安全 性 能 较 差 , 不 能 实现 隧道 中 所 传输 数据 的 加 密 。 那么 GRE 应 采用 何 种 方式 
实现 组 播 数据 跨 互 联网 的 加 密 传输 ? 


14.4 ”配置 NAT 


原理 概述 


早 在 20 世纪 90 年 代 初 ， 有 关 RFC 文档 就 提出 了 IP 地 址 耗 尽 的 可 能 性 。IPv6 技术 
的 提出 虽然 可 以 从 根本 上 解决 地 址 短缺 的 问题 ， 但 是 也 无 法 立刻 替换 现 有 成 熟 且 广泛 应 
用 的 IPv4 网 络 。 既 然 不 能 立即 过 渡 到 IPv6 网 络 , 那么 必须 使 用 一 些 技术 手段 来 延长 IPv4 
的 寿命 ， 其 中 广泛 使 用 的 技术 之 一 就 是 网 络 地 址 转换 (Network Address Translation， 
NAT)。 

NAT 是 将 正 数 据 报 文 报头 中 的 下 地 址 转换 为 男 一 个 IP 地 址 的 过 程 , 主要 用 于 实现 
内 部 网 络 〈 私 有 了 下 地 址 ) 访问 外 部 网 络 (公有 卫 地 址 ) 的 功能 。NAT 有 3 种 类 型 : 静 
态 NAT、 动 态 地 址 NAT 以 及 网 络 地 址 端口 转换 NAPT。 

NAT 转换 设备 〈 实 现 NAT 功能 的 网 络 设备 ) 维护 着 地 址 转换 表 ， 所 有 经 过 NAT 转 
换 设 备 并 且 需 要 进行 地 址 转换 的 报 文 ， 都 会 通过 该 表 做 相应 转换 。NAT 转换 设备 处 于 内 
部 网 络 和 外 部 网 络 的 连接 处 ， 常 见 的 有 路 由 器 、 防 火 墙 等 。 
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实验 目的 


e 理解 NAT 的 应 用 场景 

。 掌握 静态 NAT 的 配置 

。 掌握 NAT Outbound 的 配置 
。 掌握 NAT Easy-IP 的 配置 

e 掌握 NAT Server 的 配置 


实验 内 容 


本 实验 模拟 企业 网 络 场 景 。R1 是 公司 的 出 口 网 关 路 由 器 ,公司 内 员工 和 服务 器 
都 通过 交换 机 S1 或 S2 连接 到 R1 上 ，R2 模拟 外 网 设备 与 R1 直 连 。 由 于 公司 内 网 
都 使 用 私 网 IP 地 址 , 为 了 实现 公司 内 部 分 员工 可 以 访问 外 网 , 服务 器 可 以 供 外 网 用 
户 访问 , 网 络 管理 员 需 要 在 路 由 器 R1 上 配置 NAT: 使 用 静态 NAT 和 NAT Outbound 
技术 使 部 分 员工 可 以 访问 外 网 ， 使 用 NAT Server 技术 使 服务 器 可 以 供 外 网 用 户 
访问 。 
实验 拓扑 

配置 NAT 的 拓扑 如 图 14-13 所 示 。 
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PC-1 Ethernet 0/0/1 
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| Ethernet 0/0/1 





Ethernet 0/0/1 一 


S2 
Ethernet 0/0/2 






Ethernet 0/0/1 


图 14-13 ”配置 NAT 拓扑 


实验 编 址 
实验 编 址 见 表 14-3。 
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表 14-3 实验 编 址 
设备 IP 地 址 子 网 掩 码 默认 网 关 
GE 0/0/0 202.169.10.1 255:255,255.0 N/A 
R1 (AR2200) GE 0/0/1 172.16.1.254 255.255,235;0 N/A 
GE 0/0/2 172.17.1.254 255.255,255.0 N/A 
GE 0/0/0 202.169.10.2 255.253.255.0 N/A 
wy Can | Em | 
Loopback 0 202.169.20.1 255.255.255.0 N/A 
PC-1 Ethernet 0/0/1 173,16.1,1 2553.253.255.0 172.16.1.254 
PC-2 Ethernet 0/0/1 172.17.1.2 253,235.2550 172.17.1.254 
PC-3 Ethernet 0/0/1 V2 3 2355.235.253.0 172.17.1.254 
Server Ethernet 0/0/0 172.16.1.3 235.255.255.:0 172.16.1.254 
实验 步骤 
1. 基本 配置 


根据 实验 编 址 表 进行 相应 的 基本 配置 ， 并 使 用 ping 命令 检测 各 直 连 链 路 的 连通 性 。 
<Rl>ping -c 1 202.169.10.2 
PING 202.169.10.2: 56 data bytes, press CTRL_C to break 
Reply from 202.169.10.2: bytes=56 Sequence=] ttl=255 time=140 ms 
--- 202.169.10.2 ping statistics --- 
1 packet(s) transmitted 
1 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 140/140/140 ms 
其 余 直 连 网 段 的 连通 性 测试 省 略 。 
2， 配 置 静态 NAT 
公司 在 网 关 路 由 器 R1 上 配置 访问 外 网 的 默认 路 由 。 


[R1]ip route-static 0.0.0.0 0.0.0.0 202.169.10.2 


由 于 内 网 使 用 的 都 是 私有 卫 地 址 ， 员 工 无 法 直接 访问 公 网 。 现 需要 在 网 关 路 由 器 
R1 上 配置 NAT 地 址 转换 ， 将 私 网 地 址 转换 为 公 网 地 址 。 

PC-1 为 公司 客户 经 理 使 用 的 终端 ， 不 仅 需 要 自身 能 访问 外 网 ， 还 需要 外 网 用 户 也 能 够 直 
接 访 问 他 ， 因 此 网 络 管理 员 分 配 了 一 个 公 网 人? 地址 202.169.10.5 给 PC-1 做 静态 NAT 地 址 转 
换 。 在 Rl 的 GE 0/0/0 接口 下 使 用 nat static 命令 配置 内 部 地 址 到 外 部 地 址 的 一 对 一 转换 。 


[Rllinterface GigabitEthernet 0/0/0 
[Ri-GigabitEthemet0/0/0]nat static global 202.169.10.5 inside 172.16.1.1 
配置 完成 后 ， 在 R1 上 查看 NAT 静态 配置 信息 ， 并 在 PC-1 上 使 用 ping 命令 测试 与 
外 网 的 连通 性 。 
<R1l>display nat static 
Static Nat Information: 
Interface :GigabitEthernet0/0/0 
Global IP/Port :202.169,10.5/---- 
Inside IP/Port :172.16.1.1/---- 
Protocol ; ---- 


PC>ping 202.169.20.1 
Ping 202.169.20.1: 32 data bytes, Press Ctrl C to break 
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From 202.169.20.1: bytes=32 seq=] tl=254 time=422 ms 
From 202.169.20.1: bytes=32 seq=2 ttl=254 time=156 ms 
From 202.169.20.1: bytes=32 seq=3 ttl=254 time=203 ms 
From 202.169.20.1: bytes=32 seq=4 ttl=254 time=47 ms 
From 202.169.20.1: bytes=32 seq=5 ttl=254 time=63 ms 
--- 202.169.20.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 47/178/422 ms 


可 以 观察 到 ，PC-1 通过 静态 NAT 地 址 转换 已 经 可 以 成 功 访问 外 网 。 在 路 由 器 R1 
的 GE 0/0/0 接口 上 抓 包 查看 NAT 地 址 转换 是 否 成 功 ， 结 果 如 图 14-14 所 示 。 






No. Destination 
1i10 i -10.5 202.169.20.1 p regquest seq 
20.016000 202.169.20,1 202.169.10.5 ICMP “Echo Cping) reply Cid=0x9bbb, seq(be/le)=1/256, 3 
31.030000 202.169,.10.5 202.169,.20.1 ICMP “Echo (ping) request (id=0x9cbb, segq(ba/le)=2/512, tT]1s127) 
41.045000 202.169,20.1 202.169.10.5 ICMP Echo Cping) reply (Cid=0x9cbb; seqCbe7/1e)s2/3l2, tel=255) 
“5 2.075000 202.169,10.5 202.169.20.1 TEMP “Echo (ping) raqueast (id=Gx9dbb, saq(be/Me)=3/768, tt1=127) 
62.075000 .202.,169,.20.1 202;169.10.5 TCME Echo Cping) raeply (id=0x9dbb, seqthe/Ne)=3/768, ttl=255) 
73.120000 202.169.10,.5 202.169.20.1 ItMp ”Echo (ping) request (id=O0x9ebb, seqCbe/\e)=4/1024, tt1=127) 
83.120000 202.169.20,1 202.169.10.5 Icmp “Echo (ping) reply Cid=0x9ebb, seqCbe/Ne)=#4/1024, Tt1=255) 
94.150000 202.169.10,5 202:169.20.1 ICMP “Echo Cping) raauest (id=0x9fbb, seq(be/NTe)=571230, tt1=127) 
104.150000 202:169.20.1 202-169.10.5 ICMP “ECho (ping) reply Cid=0x9fbb, seq(be/NMe)=5/1280, tt1=255) 


es captured (592 





EE Ethernert IT，Src: ll a a8 《oo: eO:fc:bs:1a:a8}, Dst: 
下 ImCernmnEr Prorocol ， 09. 202 5 
Version: 4 
Header length: 20 bytes 
EB Differentiated services Field: Ox00 (CDSCP 0x00: Default; ECN: Ox00) 
Total Length: 60 
Identification: 0xbb9b (48027) 
EB Flags: Ox02 (Don't Fragment) 
Fragment offset: 0 
Time to live; 127 
Protocol: ICMP (1) 
四 Header checksum: 0x8ccc [correct] 
Source: 202.169.10.5 (202.169.10.5) 
Destination: 202.169.20.1 (202.169.20.1) 
EB INternet Control Message Protocol] 


图 14-14 抓 包 观 察 


可 以 观察 到 R1 已 经 成 功 把 来 自 PC-1 的 ICMP 报 文 的 源 地 址 172.16.1.1 转换 成 公 网 地 
址 202.169.10.5。 在 R2 上 使 用 环 回 口 Loopback 0 模拟 外 网 用 户 访问 PC-1, 并 在 PC-1 的 E 0/0/1 
接口 上 抓 包 观察 ， 如 图 14-15 所 示 。 


<R2>ping -a 202,169.20.1 202.169.10.5 

PING 202.169.10.5: 56 data bytes, press CTRL C to break 
Reply from 202.169.10.5: bytes=56 Sequence=] ttl=127 time=260 ms 
Reply from 202.169.10.5: bytes=56 Sequence=2 ttl=127 time=140 ms 
Reply from 202.169.10.5: bytes=56 Sequence=3 ttl=127 time=110 ms 
Reply from 202.169.10.5: bytes=56 Sequence=4 ttl=127 time=130 ms 
Reply from 202.169.10.5; bytes=56 Sequence=5 ttl=127 time=40 ms 

--- 202,169.10.5 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 40/136/260 ms 
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i MadUesT 






Ec 





0 T7216.1.1 202.159.20.1 


reply idm0xcfab, seq(be/le)=256/1, tt1=128) 
16 26: 567000 202.169.20. 工 172,16.1.1 ICMP Ee CD nequast (id=0xcfab, seq(ha/Ne)s512/2, Tt1s254) 
17 26. 567000 172.16,;1.1 202.169.20.1 ICMP Echo (ping) reply Cid=0xcfab, seyq(Cbe/Te)=512/2, tt1=128) 
.18 27.065000 202.169;20;1 172.16.1. 二 ICMP “Echo (ping) request Cid=0xcfab, seqtbe/le)s768/3, EIB2543 
19 27.056000 172.16.1.1 202.169.20.1 ICMp Echo (ping) reply Cid=0xcfab, seqlbhe/le)=768/3, tt1=1: 
20 27. 565000 202,169:20.1 172716:11 ICMP Echo (piny) request (jds0xcfaby seqCbe/1e)s102474, tr1z2547 
21 27.565000 417251651.1 202.169.20.1 ICMP Echo (ping) reply Gid=sOxcfab, seq(he/le)r1024/4, ttlsl28) 
22 28,064000 202.169.20.1 172,16.1.1 ICMP Echo (ping) reoquest (idaOxcfab, seqChe/le)s1280/5, ttla254) 
23 28.064000 172.16.1.1 202.169.20.1 ICMP “Echo (ping) reply Cloda0xcfab, SEqChe/ Tyed280/S, Tt1l=128) 


a 1 U Huaw € ; Ba 1 Cust Fort = GxXSO0U] 








1 Frame 14: 98 bytes on 
习 Ethernet IT, src: HuaweiTe_b5:;1a: St 《oo: eo:fc:b5:1a:a9), Dst: HuaweiTe_cf:2c:37 (54:89:98:cf:;2c;37) 
3 Internet Protocol, Src: 202.169.20.1 (202.169.20.1), Dst: 172.16.1.1 (172.16.1.1) 
version: 4 
Header length: 20 bytes 
习 Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: Ox00) 
Total Length: 84 
Identification: Ox0026 (38) 
习 Flags: 0x00 
Fragment offset: 0 
Time to live: 254 
Protocol: ICMP (1) 
D Header checksum: 0x30c7 [correct] 
Source: 202.169.20.1 (202.169.20.1) 
Destination: 172.16.1.1 (172.16.1,.1) 
HInternet Control Message Protocol] 


图 14-15 ” 抓 包 观 察 


可 以 观察 到 由 于 PC-1 的 私 网 地 址 被 转换 为 唯一 的 公 网 地 址 ， 外 网 用 户 也 能 主动 访 
问 PC-1， 且 数据 包 在 经 过 R1 进入 内 网 的 时 候 ，R1 把 目的 卫 转换 为 与 公 网 地 址 
202.169.10.5 对 应 的 私 网 地 址 172.16.1.1 发 给 PC-1。 

3. 配置 NAT Outbound 

公司 内 市 场 部 的 员工 都 需要 能 够 访问 外 网 。 市 场 部 使 用 私 网 IP 地 址 172.17.1.0/24 网 
段 ， 网 络 管理 员 使 用 公 网 地 址 池 202.169.10.50~202.169.10.60 为 市 场 部 员工 做 NAT 转换 。 

在 R1 上 使 用 nat addres-group 命令 配置 NAT 地 址 池 ， 设 置 起 始 和 结束 地 址 分 别 为 
202.169.10.50 和 202.169.10.60。 

[Rl1lnat address-group 1 202.169.10.50 202.169.10.60 


创建 基本 ACL 2000， 匹 配 20.1.1.0， 掩 码 为 24 位 的 地 址 段 。 


[Rllacl 2001 
[Rl-acl-basic-2001]rule 5 permit source 172.17.1.0 0.0.0.255 


在 GE 0/0/0 接口 下 使 用 nat outbound 命令 将 ACL 2001 与 地 址 池 相 关联 , 使 得 ACL 
中 规定 的 地 址 可 以 使 用 地 址 池 进 行 地 址 转换 。 


[Rllinterface GigabitEthermmet 0/0/0 
[R1-GigabitEthernet0/0/0]nat outbound 2001 address-group 1 no-pat 


配置 完成 后 ， 在 R1 上 查看 NAT Outbound 信息 。 


[Rljdisplay nat outbound 
NAT Outbound Information: 
Interface Acl Address-group/IP/Interface Type 
GigabitEthernet0/0/0 2001 1 no-pat 
Total : 1 


可 以 观察 到 Rl 上 的 NAT Outbound 配置 信息 。 使 用 PC-2 测试 与 外 网 的 连通 性 ， 并 
在 Rl 的 接口 GE 0/0/0 上 抓 包 观 察 地 址 转换 情况 ， 如 图 14-16 所 示 。 


PC>ping 202.169.20.1 
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Ping 202.169.20.1: 32 data bytes, Press Ctrl_C to break 
From 202.169.20.1: bytes=32 seq=]l ttl=254 time=219 ms 
From 202.169.20.1: bytes=32 seq=2 tt]=254 time=141 ms 
From 202.169.20.1: bytes=32 seq=3 ttl=254 time=94 ms 
From 202.169.20.1: bytes=32 seq=4 ttl=254 time=47 ms 
From 202.169.20.1: bytes=32 seq=5 ttl=254 time=94 ms 
--- 202.169.20.1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 47/119/219 ms 





HuaweiTe_03:e5:0a Broadcast 





20 

30.125000 HuaweiTe_03:64:le HuaweiTe_ 03:;e5:0a ARP 202.169.10.50 1s at O00:e0:fc:03:64:1e 

4 0.156000 202.169.20.1 202.169.10.50 ICMP Echo (ping) reply Gd=0x98db, seg(be/le) 
SIE87000) 202:169.10.51 202.,169.20.1 ICRMP “Echo tping) regquest (id=0x99dB, seqtbe/nlle) 
61.265000 HuaweiTe_03:e5:;0a Broadcast ARP who has 202.169.10.51? Te]] 202.169.10.2 
71.297000 HuaweiTe_03:64:le HuaweiTe_03:e5:0a ARP 202.169.10.51 1s at O00:e0Q:Tc:03:64:1e 









592 birs), 74 bytes captured ) 
四 Ethernet II, Src: HuaweiTe O03:64:1e (O00:e0:fc:03:64:1e), Dst: HuaweiTe_03:e5:0a COO0:e0:fc:03:e5:0a) 
B Internet protocols Sre: 202.169.10.50 (202.169.10.50), Dst: 202,169.20,1 (202.169,20.1) 
Version: 4 
Header length:; 20 bytes 
Differentiated Services Field: Ox00 (DSCP 0x00: Default; ECN: Ox00) 
Total Length: 60 
Identification: Oxdb98 (56216) 
加 Flags: Ox02 (DonNn't Fragment) 
Fragment offser: 0 
Time to live: 127 
Protocol: ICMP (1) 
加 Header checksum: Ox6ca2 [correcr] 
Source: 202.169.10.50 (202.169.10.50) 
Destination: 202.169.20.1 (202.169,.20.1) 
WB INternet Control Message protocol 


图 14-16 ” 抓 包 观 察 


可 以 观察 到 PC-2 可 以 成 功 访问 外 网 ， 且 通过 抓 包 分 析 ， 来 自 PC-2 的 ICMP 数据 包 
在 Rl 的 GE 0/0/0 接口 上 源 地 址 172.17.1.2 被 替换 为 地 址 池 中 第 一 个 地 址 202.169.10.50。 

4. 配置 NAT Easy- 了 IP 

由 于 公司 发 展 人 员 扩 招 , 若 继 续 使 用 多 对 多 的 NAT 转换 方式 , 就 必须 增加 公 网 地 址 
池 的 地 址 数 。 为 了 节约 公 网 地 址 ， 网 络 管理 员 使 用 多 对 一 的 Easy-IP 转换 方式 实现 市 场 
部 员工 访问 外 网 的 需求 。 

Easy-IP 是 NAPT 的 一 种 方式 ， 直 接 借用 路 由 器 出 接口 IP 地 址 作为 公 网 地 址 ， 将 不 
同 的 内 部 地 址 映射 到 同一 公有 地 址 的 不 同 端口 号 上 ， 实 现 多 对 一 地 址 转换 。 网 络 管理 员 
配置 路 由 器 R1 的 GE 0/0/0 接口 为 Easy-IP 接口 。 

在 Rl 的 GE 0/0/0 接口 上 删除 NAT Outbound 配置 ， 并 使 用 nat outbound 命令 配置 
Easy-IP 特性 ， 直 接 使 用 接口 IP 地 址 作为 NAT 转换 后 的 地 址 。 


[Rl1linterface GigabitEthernet 0/0/0 
[R1-GigabitEthernet0/0/0jundo nat outbound 2001 address-group 1 no-pat 
[R1-GigabitEthernet0/0/0]nat outbound 2001 


配置 完成 后 ， 在 PC-2 和 PC-3 上 使 用 UDP 发 包工 具 发 送 UDP 数据 包 到 公 网 地 址 
202.169.20.1， 配置 好 目的 人 和 UDP 源 、 目 的 端口 号 后 , 输入 字符 串 数据 后 单 击 “ 发 送 ” 
按钮 ， 如 图 14-17、 图 14-18 所 示 。 
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| 全 PPv4 IPv6 | 
| DS 和 


| 
I 
| 地 址 
| 
| 目的 MAC 地 址 : FF-FF-FF-FFFFFF 源 MAC 地 址 : 54-89-98-CF-DC-04 








me 上 


目的 IP 地 址 : 2 源 Ip 地 址 ; DW 
目的 端口 号 : 功 (on65535) 源 端 口号 ; 10 (0m65535) 





VLAN 数据 世 信 息 


VAN vanm: | 优先 级 : | | (0~7 ”数据 包 长 度 : 56 (28%65535) MIU: 1500 (28~65535) | 
| 人 | 


数据 
输入 十 六 进 制 字符 串 数 据 : | 
123456 


一 





回 周 萌发 送 “时间 间 喇 |1000 |rs 发 包 个 数 : 1 | | 








要 SR 


14-17 PC-2 配置 界面 













| 生 H 本 秆 “| 命 S 行 “| 组 颖 | uoP 版 包 I 具 | 
| 








5 IPv6 











目的 MAC 地 址 : FF-FF-FF-FF-FF-FF 源 MAC 地 址 : 54-89-98-CF-CC-40 









区 源 P 地 址 : 7 





目的 端口 号 : 10 0n65539 源 庙 口 号 ; D0 (0~65535) 










VLAN 数据 包 信息 ， 
”人 r 先 级 : Oo |] (0~7) 数据 包 长 度 :56 (28~65535) MTU; 1500 (28"™65535) 












图 14-18 PC-3 配置 界面 


408 HCNA 网 络 技术 实验 指南 


在 PC-2 和 PC-3 发 送 UDP 数据 包 后 ， 在 R1 上 查看 NAT Session 的 详细 信息 。 


<R1l>display nat session protocol udp verbose 


NAT Session Table Information: 
Protocol : UDP(17) 
SrcAddr Port Vpn:172.17.1.2 2560 
DestAddr Port Vpn : 202.169.20.1 2560 
Time To Live :1205s 
NAT-Info 
New SrcAddr :202.169.10.1 
New SrcPort : 10255 
New DestAddr : ---- 
New DestPort : ---- 
Protocol :UDP(17) 
SrcAddr Port Vpn:172.17.1.3 2560 
DestAddr Port Vpn : 202.169.20.1 2560 
Time To Live :1208s 
NAT-Info 
New SrcAddr :202.169.10.1 
New SrcPort :10256 

” NewDestAddr :---- 

New DestPort : ---- 
Total :2 


可 以 观察 到 ， 源 地 址 为 172.17.1.2 的 UDP 数据 包 被 新 源 地 址 202.169.10.1 和 新 源 端 
口号 10255 替换 ， 源 地 址 为 172.17.1.3 的 UDP 数据 包 被 新 源 地 址 202.169.10.1 和 新 源 端 
口号 10256 替换 。R1l 借用 自身 GE 0/0/0 接口 的 公 网 他 地 址 为 所 有 私 网 地 址 做 NAT 转换 ， 
使 用 不 同 的 端口 号 区 分 不 同 私 网 数据 。 此 方式 不 需要 创建 地 址 池 , 大 大 节省 了 地 址 空间 。 

5. 配置 NAT Server 

公司 内 Server 提供 FTP 服务 供 外 网 用 户 访问 ， 配 置 NAT Server 并 使 用 公 网 卫 地 址 
202.169.10.6 对 外 公布 服务 器 地 址 ， 然 后 开启 NAT ALG 功能 。 因 为 对 于 封装 在 IP 数据 
报 文中 的 应 用 层 协议 报 文 , 正常 的 NAT 转换 会 导致 错误 , 在 开启 某 应 用 协议 的 NAT ALG 
功能 后 ， 该 应 用 协议 报 文 可 以 正常 进行 NAT 转换 ， 否 则 该 应 用 协议 不 能 正常 工作 。 

在 Rl 的 GE 0/0/0 接口 上 ， 使 用 nat server 命令 定义 内 部 服务 器 的 映射 表 ， 指 定 服 
务 器 通信 协议 类 型 为 TCP， 配 置 服务 器 使 用 的 公 网 IP 地 址 为 202.169.10.6， 服 务 器 内 网 
地 址 为 172.16.1.3， 指 定 端口 号 为 21， 该 常用 端口 号 可 以 直接 使 用 关键 字 “ftp” 代 替 。 


1jinterface GigabitEthernet 0/0/0 

[R1-GigabitEthernet0/0/0Jnat server protocol tcp global 202;169.10.6 ftp inside 172.16.1.3 fp 
[R1-GigabitEthernet0/0/0]quit 

[Rll]nat alg ftp enable 


配置 完成 后 ， 在 R1 上 查看 NAT Server 信息 。 


<R1l>display nat server 
Nat Server Information: 
Interface : GigabitEthernet0/0/0 
Global IP/Port ;202.169.10,6/21(ftp) 
InsideIP/Port :172.16.1.3/21(ftp) 
Protocol : 6(tcp) 
VPN instance-name : ---- 
Acl number ‘er 
Description : ---- 
Total : 1 
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可 以 观察 到 ， 配 置 已 经 生效 ， 并 开启 服务 器 的 FTP 功能 ， 如 图 14-19 所 示 。 


BServer 





| | 天 WW2 和 | 服务 器 信息 | 日 志 信息 
| 
| 





DNSServer 
服务 
| FtpServer 
| 监听 端口 号 ; 
HttpSeryer 
| 
| 配置 
1 
| 文件 根 目 录 ; 
test,txt 
| 
| 
i ba 
«| Ea £ | 1 2 





图 14-19 ”Server 配置 界面 
设置 完 服务 器 后 ， 在 R2 上 模拟 公 网 用 户 访问 该 私 网 服务 器 。 


<R2>ftp 202.169.10.6 

Trying 202.169.10.6 .. 

Press CTRL+K to abort 

Connected to 202.169.10.6. 

220 FtpServerTry FtpD for free 
User(202.169.10.6:(none)):huawei 
331 Password required for huawei . 
Enter password: 

230 User huawei logged in , proceed 


[R2-ftpjls 

200 Port command okay. 

150 Opening ASCII NO-PRINT mode data connection for 1s -]. 
test.txt 

226 Transter finished successfully. Data connection closed. 
FTP: 10 byte{s) received in 0.160 second(s) 62.50byte(s)/sec. 


可 以 观察 到 ， 公 网 用 户 可 以 成 功 登 录 公司 内 的 私 网 FTP 服务 器 。 
思考 


什么 情况 下 需要 使 用 到 NAT 的 双向 转换 ? 





附录 
命令 索引 
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基础 配置 命令 


用 来 对 本 地 时 区 信息 进行 设置 。time-zone-name 指 定时 区 名 称 ; add 
与 通用 协调 时 间 UTC 相 比 ，time-zone-name 增 加 的 时 间 偏 移 量 ， 即 在 
clock timezone time- 系统 默认 的 UTC 时 区 的 基础 上 ， 加 上 ofet， 就 可 以 得 到 
zone-name { add | time-zone-name 所 标识 的 时 区 时 间 ; minus 与 UTC 时 间 相 比 ， 
minus } ofset time-zone-name 减 少 的 时 间 偏 移 量 ， 即 在 系统 默认 的 UTC 时 区 的 基础 
上 , 减 去 offset， 就 可 以 得 到 time-zone-name 所 标识 的 时 区 时 间 ; offser 
指定 与 UTC 的 时 间 差 


用 来 查看 每 个 用 户 界面 的 用 户 登 录 信 息 


用 来 从 当前 视图 退回 到 较 低级 别 视图 ， 如 果 是 用 户 视图 ， 则 退出 系统 


| retum ”| 用 来 从 除 用 户 视图 外 的 其 它 视图 退回 到 用 户 视图 


sysname 用 来 设置 路 由 器 的 主机 名 


用 来 使 用 户 从 用 户 视图 进入 系统 视图 


user privilege level /eve! | 用 来 配置 用 户 级 别 。level level 指定 用 户 级 别 


用 来 进入 一 个 或 多 个 用 户 界 面 视图 。ui-type 指 定 用 户 界面 (User-interface) 
user-interface [ ui-type ] | 的 类 型 ; first-ui-number 指 定 配 置 的 第 一 个 用 户 界面 编号 ; last-ui-number 
first-ui-number 指定 配置 的 最 后 一 个 用 户 界 面 编号 。 选 择 此 参数 , 将 同时 进入 多 个 用 户 
[ last-ui-number ] 界面 视图 。 此 参数 只 有 在 xppe 取 值 是 VTY 或 TTY 类 型 时 才 有 效 。 

last-ui-number 的 取 值 要 比 first-ui-number 取 值 大 


用 来 进入 用 户 某 个 目录 操作 文件 .修改 用 户 当前 界面 的 工作 路 径 为 此 目录 ， 
cd [..| directory ] 用 户 当 前 目录 为 设置 好 的 默认 工作 路 径 〈 如 “fash:/”) 。 默 认 情 况 下 的 工 
作 路 径 为 flash:/; directory 指 定 要 进入 的 目标 目录 名 称 


用 来 拷贝 当前 设备 上 的 某 个 文件 到 目标 指定 路 径 下 。source-filename 指 定 
copy source-filename 要 拷贝 的 源 文件 名 ， 字 符 串 形式 ， 格 式 为 [ path ][ file-name ]; 
destination-filename destination-filename 指 定 要 拷贝 到 的 目标 文件 名 ， 字 符 串 形式 ， 格 式 为 

[path ][ file-name ] 


用 来 删除 存储 设备 中 的 指定 文件 。 支 持 "* "通配符 


dir [ remote-filename ] 显示 目录 下 的 所 有 文件 或 查询 文件 。remotre-filename 指 定 查 询 的 文件 名 ; 
[ local-filename ] local-filename 指 定 保存 的 本 地 文件 名 


ftp [ [ -a source-ip-address | -a source-ip-address 指 定 本 端 设备 的 IPv4 地 址 ; -i interface-type 
| -Linmterface-type interface- interface-number 指 定 本 端 设备 的 出 接口 ;host 指 定 远 程 FTP server 的 IP 











nen | mt L pave 地 址 或 主机 名 称 ;port-number 指 定 远程 RTP 服务器 的 端口 号 ; public-net 


number | [ public-net | vpn- Y R 
ee ye 指定 在 公 网 中 连接 FTP 服 务 器 ; vpn-instanee vpn-instance- 


name ] ] name 指 定 远 程 FTP 服 务 器 端的 VPN 实 例 名 


get remote-filename 用 来 下 载 远 程 文件 并 存储 在 本 地 。remote-filename 指 定 远 程 FTP server 上 
[ local-filename ] 的 文件 名 ; local-filename 指 定 本 地 文件 名 
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基础 配置 命令 


ls [ remote-filename ] 查询 指定 的 文件 。remote-filename 指 定 查 询 的 远程 文件 ; local-filename 指 
[ local-filename ] 定 保存 的 本 地 文件 名 


用 来 与 远程 FTP server 建 立 控制 连接 。 命 令 中 VPN 实 例 名 ， 标 识 FTP 到 哪 
一 个 VPN 实 例 中 的 FTP server。-a source-ip-address 指 定 源 P 地 址 ;， -i 
interface-type interface-number 指 定 本 端 可 以 连接 出 去 的 源 接口 ， host 指 定 
远程 FTP server 的 JP 地址 或 主机 名 ; port-number 指 定 远程 FTP server 的 端口 
号 ; public-net 指 定 在 公 网 中 连接 ; vpn-instance vpn-instance-name 指 定 服 
务 器 端的 VPN 实 例 名 


用 来 在 远程 FTP 服 务 器 建立 目录 。remote-directory 指 定 目录 名 
远 ©o 四 日 


put local-filename 用 来 将 本 地 的 文件 上 传 到 远程 FTP server。local-filename 指 定 本 地 的 文件 
[remote-filename ] 名 ; remote-filename 指 定 远 程 FTP server 上 的 文件 名 
telnet [vpn-instance vpn- | 用 来 从 当前 设备 使 用 Telnet 协 议 登 录 其 他 设备 。vpn-instance 
instance-name ] [ -a | vpn-instance-name 指 定 通过 Telnet 协 议 登 录 的 设备 所 属 的 VPN 实 例 名 ; -a 


source-ip-address ] source-ip-address 指 定 本 端 设 备 的 IPv4 地 址 ，host-name 指 定 远 端 设备 的 IPv4 
host-name [port-number ] | 地 址 或 主机 名 ; port-number 指 定 远 端 设 备 提供 Telnet 服 务 的 TCP 端 口号 


用 来 查看 当前 SSH 服 务 器 的 工作 状态 。 当 需要 查询 当前 SSH 服 务 器 的 
display ssh server status | 协议 版 本 、 认 证 超时 时 间 、 密 钥 更 新 周期 和 认证 重 试 次 数 时 ， 使 用 此 
命令 
display ssh user- 用 来 查看 SSH 用 户 信 息 。 当 需要 查询 SSH 用 户 的 用 户 名 、 认 证 类 型 、 密 钥 
information username 名 和 服务 类 型 时 ， 使 用 此 命令 。username 指 定 用 户 名 


display ssh server a 网 有 
用 来 查看 当前 SSH 服 务 器 的 会 话 状态 


RS 用 来 查看 本 地 密 钥 对 中 的 公 钥 部 分 信息 。 当 需要 获取 服务 器 端的 公 负 ， 
isplay rsa loealkey。 | 并 发 送 给 客户 端 保存 ， 或 确认 主机 密 钥 对 和 服务 密 钥 对 是 否 存在 时 ， 使 
pair public 用 此 命令 

用 来 查看 SSH 用 户 的 密 钥 。 当 SSH 用 户 配置 密 钥 后 需要 查看 SSH 用 户 密 铀 
的 名 称 和 数据 时 ,使 用 此 命令 。 Brief 显 示 所 有 远 端 公 钥 的 简明 信息 ; name 
key-name 指 定 远 端 公 钥 的 名 字 


用 来 创建 SSH 服 务 所 需 的 主机 密 钥 对 和 服务 密 钥 对 


用 来 查看 接口 当前 运行 状态 和 接口 统计 信息 。 interface-type 


[ interface-number ] 显示 指定 接口 类 型 和 接口 编号 的 接口 当前 运行 状态 


[interface-number ] | 和 统计 信息 ; slot siot-id 显示 指定 接口 板 编 号 的 接口 当前 运行 状态 和 统计 
slot slot-id ] 信息 


display interface brief 用 来 查看 接口 状态 和 配置 的 简要 信息 : 


用 来 查看 接口 与 卫 相 关 的 配置 和 统计 信息 ， 包 括 接口 接收 和 发 送 的 报 文 
数 、 字 节 数 和 组 播报 文 数 ， 以 及 接口 接收 、 发 送 、 转 发 和 丢弃 的 广播 报 
文 数 




























open [ -a source-ip-address 
| -i interface-type interface- 
number ] host 
[port-number | 

[ public-net | vpn-instance 
vpn-instance-name | 








































display rsa peer-public- 
key [ brief | name 
key-name ] 












description description 













display interface 
[ interface-type 









display ip interface 
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接口 管理 命令 
disnlav io interface brief | 用 来 查看 接口 与 耳 相 关 的 简要 信息 ， 包 括 耳 地 址 、 子 网 掩 码 、 物 理 链 路 和 
Payip 协议 的 Up/Down 状 态 以 及 处 于 不 同 状态 的 接口 数目 


display this interface 用 来 显示 当前 接口 视图 下 的 接口 信息 


用 来 进入 已 经 存在 的 接口 ， 或 创建 并 进入 逻辑 接口 。interface-type 
interface-number 指 定 接口 类 型 和 接口 编号 。 接 口 类 型 和 接口 编号 之 间 可 
interface interface-type 以 输入 空格 也 可 以 不 输入 空格 。 输 入 接口 类 型 时 支持 用 前 几 个 字母 代表 
interface-number 整个 接口 名 称 ， 前 提 是 这 几 个 字母 可 以 唯一 标示 出 该 接口 名 。 比 如 输入 
“ethe” 可 以 唯一 代表 ethernet。 如 无 特殊 说 明 ， 本 文档 所 有 举例 只 列举 接 
口 类 型 和 接口 编号 之 间 有 空格 ， 且 接口 类 型 用 全 称 的 情况 


用 来 配置 接口 自 协 商 模式 下 的 双 工 模式 


Ne 用 来 恢复 接口 自 协商 模式 下 的 双 工 模式 为 默认 值 。 当 以 太 网 接口 工作 在 
自 协商 模式 时 ， 默 认 情 况 下 ， 它 的 双 工 模式 是 和 对 端 接口 协商 得 到 的 
用 来 配置 接口 自 协商 模式 下 的 协商 速率 


CE 用 来 恢复 接口 自 协 商 模式 下 的 协商 速率 为 默认 值 。 默 认 情况 下 ， 以 太 网 
接口 自 协商 速率 范围 为 接口 支持 的 所 有 速率 


用 来 配置 以 太 网 接口 的 速率 。 接 口 工作 于 非 自 协商 模式 时 ， 默 认 情况 下 ， 
用 来 启用 终结 子 接口 的 ARP 广 播 功能 


它 的 速率 为 100Mbit/s 

用 来 指定 控制 YLAN 和 终结 子 接口 的 对 应 关系 , 从 而 区 分 同一 主 接口 下 不 

Wh 同 终结 子 接口 。Viad 指 定子 接口 控制 YLAN ID， 用 于 标识 不 同 子 接口 ; 

eontrolsvidyid { dotlq- dotlq-termination 配置 子 接口 为 dot1q 封 装 方式 ， 适 用 于 对 带 有 一 层 Tag 

termination | 报 文 终结 ; 

qinq-termination } 全 
qinq-termination 配 置 子 接口 为 QinQ 封 装 方式 ， 适 用 于 对 带 有 两 层 Tag 报 

文 终结 


用 来 配置 子 接口 对 一 层 Tag 报 文 的 终结 功能 。Vid 指定 用 户 报 文中 Tag 的 取 什 


用 来 创建 接口 链 路 层 封装 协议 为 帧 中 继 的 子 接口 。interface interface-type 
interface-number 指定 链 路 层 封 装 协 议 为 帧 中 继 的 接口 编号 ; 
subinterface-number 指定 子 接口 编号 ; p2mp 配 置 子 接口 类 型 为 点 到 多 点 ， 
当 接 口 封装 的 协议 类 型 是 帧 中 继 时 ， 默 认 的 子 接口 类 型 是 p2mp; p2p 配 
置 子 接口 类 型 为 点 到 点 


interface loopback 
和 用 来 创建 Loopback 接 口 。loopback-number 指 定 Loopback 接 口 的 编号 


链 路 聚合 配置 命令 


display eth-trunk 
[ trunk-id [ interface 用 来 查看 Eth-Trunk 接 口 的 配置 信息 。trunk-ia 指 定 Eth-Trunk 接 口 的 编号 ; 
interface-type interface interface-type interface-number 指 定 Eth-Trunk 中 的 成 员 接 口 ; 
interface-number | verbose 查看 Eth-Trunk 接 口 的 详细 配置 信息 


verbose ] ] 















































interface interface-type 
interface-number.subinter 
face-number [ p2mp | 
p2p ] 
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链 路 聚合 配置 命令 


display inter face 用 来 查看 Eth-Trunk 接 口 的 状态 信息 。trunk-ia 指 定 Eth-Trunk 接 口 的 编号 ， 


eb subnumber 指 定 Eth-Trunk 子 接口 编号 


eth-trunk trunk-id 用 来 将 当前 接口 加 入 到 指定 Eth-Trank 中 。trunk-id 指定 Eth-Trunk 接 口 的 编号 


interface eth-trunk 用 来 创建 Eth-Trunk 接 口 并 进入 Eth-Trunk 接 口 视图 。itrunk-id 指定 
trunk-id [.subnumber ] Eth-Trunk 接 口 的 编号 ; subnumber 指 定 Eth-Trunk 的 子 接口 编号 


es vlanif | 用 来 查看 VLANIF 接 口 的 状态 信息 和 基本 配置 信息 。vian-id 指 定 VLAN 编 号 


display vlan 用 来 查看 所 有 VLAN 的 相关 信息 


用 来 创建 VLANIF 接 口 并 进入 VLANIF 接 口 视图 。vlan-id 指 定 待 创建 
VLANIF 接 口 所 对 应 的 VLAN 编 号 


用 来 配置 接口 的 默认 VLAN 并 同时 加 入 这 个 VLAN 。vlan-id 配置 默认 
VLAN 的 编号 


用 来 设置 Hybrid 类 型 接口 的 默认 VLAN ID。vlan-id 指定 Hybrid 类 型 接口 
的 默认 VLAN 编 号 


Van-idl [ to vlan-id2 ] 指定 Hybrid 类 型 接口 所 属 的 VLAN, 其 中 vlan-id1 表 
示 被 创建 的 第 一 个 VLAN 的 编号 ; to vlan-id2 表 示 被 创建 的 最 后 一 个 
VLAN 的 编号 。vlan-id2 的 取 值 必须 大 于 vlan-idl 的 取 值 , 它 和 vlan-idl 共 同 
确定 一 个 范围 。 如 果 不 指定 to vlan-id2 参 数 ， 则 只 创建 vian-id1 所 指定 的 
VLAN。all 指 定 Hybrid 接 口 所 属 的 所 有 VLAN 


用 来 配置 Hybrid 类 型 接口 所 属 的 VLAN， 这 些 VLAN 的 帧 以 Untagged 方 式 
从 该 接口 发 送出 去 。vlan-idl [ to vian-id2 ] 指定 Hybrid 类 型 接口 所 属 的 
VLAN， 其 中 vian-idl 表 示 被 创建 的 第 一 个 VLAN 的 编号 ; to vlan-id2 表 示 
被 创建 的 最 后 一 个 VLAN 的 编号 。vlan-id2 的 取 值 必须 大 于 vian-id1 的 取 
值 ， 它 和 vlan-idl 共 同 确定 一 个 范围 。 如 果 不 指 定 to vian-i42 参 数 ， 则 只 创 
建 vian-id1 所 指定 的 VLAN。all 指 定 Hybrid 接 口 所 属 的 所 有 VLAN 


用 来 配置 接口 的 链 路 类 型 。access 配 置 接口 的 链 路 类 型 为 access; hybrid 
配置 接口 的 链 路 类 型 为 Hybrid，trunk 配 置 接口 的 链 路 类 型 为 Trunk 


用 来 配置 Trunk 类 型 接口 加 入 的 VLAN vlan-id1 [to vlan-id2 ] 指定 Trunk 类 型 
接口 所 属 的 VLAN， 其 中 vlan-ial 表 示 被 创建 的 第 一 个 VLAN 的 编号 ; to 
Vlan-itd2 表 示 被 创建 的 最 后 一 个 VLAN 的 编号 。vlan-id2 的 取 值 必须 大 于 
vian-id1 的 取 值 , 它 和 vian-idl 共 同 确 定 一 个 范围 。 如 果 不 指 定 to vlan-iq2 参 数 ， 
则 只 创建 wan-idl 所 指定 的 VLAN。al 指 定 Trunk 接 口 属于 所 有 VLAN 


port trunk pvid vlan 用 来 设置 Trunk 类 型 接口 的 默认 VLAN ID。vlan-id 指 定 Trank 类 型 接口 的 默 
vian-id 认 VLAN 编 号 


vlan vlan-id . 用 来 创建 VLAN 并 进入 VLAN 视 图 。vlan-id 配 置 VYLAN 的 编号 


用 来 创建 一 个 或 批量 创建 多 个 VLAN。vlan-idl [ to vian-id2 ] 指定 VLAN 
的 编号 ， 其 中 vian-idl 表 示 被 创建 的 第 一 个 VLAN 的 编号 ;to vian-iq2 表 示 
被 创建 的 最 后 一 个 VLAN 的 编号 。vlan-id2 的 取 值 必须 大 于 vlan-idl 的 取 
值 ， 它 和 vlan-i4l 共 同 确 定 一 个 范围 。 如 果 不 指定 to vlan-iq2 参 数 ， 则 只 创 
建 vilan-id1l 所 指定 的 VLAN 



































interface vlanif vlan-i4 


port default vlan vian-id 


port hybrid pvid vlan 
vian-id 










port hybrid tagged vlan 
{ {vian-idl[ to 

vian-id2 | }&<1~10> | 
all} 















port hybrid untagged 
vlan { { vian-idl [to 

vian-id2 | }&<1~10> | 
all} 






















port link-type { access | 
hybrid | trunk } 












port trunk allow-pass 
vlan { { vian-idl [ to 
vlan-id2 ] }&<]1~10> | 
all} 























vlan batch { vian-idl 
[to vlan-id2 ] }&<1~10> 
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| 广域网 配置 命令 


ce 用 来 查看 使 用 帧 中 继 协 议 的 接口 状态 , 包括 接口 是 作为 DTE 还 是 DCE, 以 
[ Ty 人 及 物理 状态 和 链 路 层 协议 状态 ,对 于 子 接口 , 将 显示 子 接口 类 型 和 链 路 层 
a ] 协议 状态 。interface-type 指 定 接口 类 型 ， 不 指定 口 类 型 则 显示 所 有 帧 中 继 

接口 的 信息 ; interface-number 指 定 接口 编号 


用 来 查看 帧 中 继 虚 电路 的 配置 情况 和 统计 信息 


用 来 为 帧 中 继 接口 配置 虚 电 路 并 进入 虚 电 路 视图 。dlci 为 帧 中 继 接口 分 配 
fr dlei dici 









的 虚 电 路 号 。 执 行 undo fr dlei 命 令 时 ， 如 果 不 指定 DLCI， 则 删除 本 接口 
上 所 有 的 DLCI; 如 果 是 在 帧 中 继 主 接口 下 执行 此 命令 ， 不 会 删除 帧 中 继 
子 接口 下 的 DLCI 
























fr inarp [ip [dici-nmumber | 用 来 允许 帧 中 继 北 向 地 址 解析 功能 , ip 表 示 对 人 -网络 协议 进行 逆向 地 址 解 
| pve-group 析 ; dlci-number 指 定 本 地 虚 电 路 号 ; pve-group pvc-group-name 指 定 PVC 
pvc-group-name | ] 组 名 











用 来 增加 一 条 帧 中 继 地 址 和 一 个 DLCI 的 静态 地 址 映射 。 
destination-address [mask] 指 定 目的 人 地址 和 子 网 掩 码 ;， default 指 定 一 条 默 
认 映 射 ;dlci-number 指定 本 地 的 数据 链 路 标识 符 ，ietf 指 定 帧 中 继 接 口 报 
文 格式 为 下 TF; nonstandard 指 定 帧 中 继 接 口 报 文 格式 为 非 标 准 格式 ; 
broadeast 指定 广播 方式 ， 表 示 该 映射 上 可 以 发 送 广 播报 文 。pve-group 
pvc-group-name 指 定 PVC 组 名 。 在 ATM 接 口上 保持 唯一 ， 并 且 不 能 是 合法 
的 VPI/VCI 值 对 ， 如 “1/20” 就 不 允许 作为 PVC 名 


jink protocol fi [ietf| | 用 来 指定 接口 链 路 层 协议 为 帧 中 继 协 议 的 封装 格式 。ietf 表 示 IETF 标 准 封 
| “| 装 ， 按 照 RFC 1490 规 定 的 格式 进行 封装 ， 为 默认 封装 格式 ;Nonstandard 
表示 非 标准 兼容 的 封装 格式 


TITT 


ppp authentication-mode | 用 来 设置 本 端 PPP 协 议 对 对 端 设备 的 认证 方式 。chap 表 示 采 用 CHAP 认 证 
: a 方式 ，pap 表 示 采 用 PAP 认 证 方式 ，eall-in 表 示 只 在 远 端 用 户 呼 入 时 才 认 
证 对 方 ， domain domain-name 表 示 用 户 认 证 采用 的 域名 


domain-name | 











fr map ip { destination- 
address [ mask | | 
default } { dici-number | 
pvce-group 
pvc-egroup-name } [ [ ietf | 
nonstandard | 

[ broadcast ] ] 














ghee na em or 用 来 配置 CHAP 验 证 的 口令 。cipher 表 示 密 码 为 密 文 显示 ，simple 表 示 密 
wiphon 和 90 码 为 明文 显示 ; password 设 置 CHAP 认 证 的 口令 


password 








用 来 配置 CHAP 验 证 的 用 户 名 。wusername 设 置 CHAP 验 证 的 用 户 名 ， 该 用 
户 名 是 发 送 到 对 端 设备 进行 CHAP 验 证 时 使 用 的 用 户 名 


Router-ID router-id 用 来 设置 路 由 管理 中 的 Router-ID。router-ia 指 定 IPv4 地 址 形式 的 Router-ID 





ppp chap user username 
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〈 续 表 ) 


静态 路 由 、RIP 路 由 协议 配置 命令 


用 来 在 当前 路 由 器 生成 一 条 默认 路 由 或 者 将 路 由 表 中 存在 的 默认 路 由 发 送 
给 邻居 。match default 表 示 如 果 在 路 由 表 中 存在 其 他 路 由 协议 或 其 他 RIP 进 
程 生成 的 默认 路 由 , 则 向 邻居 发 布 该 默认 路 由 ; avoid-learning 表 示 避 免 RIP 
进程 引入 默认 路 由 。 如 果 路 由 表 中 已 存在 的 默认 路 由 为 活跃 状态 ， 选 用 该 
参数 可 以 将 此 路 由 置 为 不 活跃 状态 。eost cost 指 定 生成 默认 路 由 的 度量 值 


用 来 显示 RIP 进 程 的 当前 运行 状态 及 配置 信息 
用 来 查看 RIP 发 布 数 据 库 的 所 有 激活 路 由 。 这 些 路 由 以 常规 RIP 更 新 报 文 


的 形式 发 送 。process-id 指 定 RIP 进 程 号 ;verbose 显 示 RIP 发 布 数 据 库 中 路 
由 的 详细 信息 


py rip er ocess-id 用 来 显示 RIP 的 接口 信息 。process-id 指 定 RIP 进 程 号 ; interface-type 指 定 接 
EE reed etpe | 9 类 型 ， 如 GigabitEthernet、Loopback 等 ; interface-number 指 定 接口 号 ; 
verbose 指 定 查看 RIP 接 口 的 详细 信息 


[ verbose | 
display rip process-id 用 来 显示 所 有 从 其 它 路 由 器 学 来 的 RIP 路 由 信息 ， 以 及 与 每 条 路 由 相关 的 
route 不 同 定时 器 的 值 。process-id 指 定 RIP 进 程 号 


import-route 用 来 从 其 他 路 由 协议 引入 路 由 


network network- 用 来 对 指定 网 段 接 口 使 能 RIP 功 能 。 network-address 指 定 启用 RIP 的 网 络 地 
address 址 ， 必 须 是 自然 网 段 的 地 址 


用 来 指定 NBMA 网 络 中 RIP 邻 居 路 由 器 的 卫 地 址 。 配 置 此 命令 后 ， 更 新 报 
文 以 单 播 形 式 发 送 到 对 端 , 而 不 采用 正常 的 组 播 或 广播 的 形式 。ip-address 
指定 邻居 路 由 器 的 IP 地 址 
用 来 指定 RIP 路 由 的 优先 级 ， 并 且 通 过 应 用 路 由 策略 可 以 对 特定 的 路 由 设 
route-policy route- 置 优先 级 。preference 指 定 路 由 的 优先 级 ; route-poliey 表 示 应 用 路 由 策略 ， 
policy-name } 对 满足 条 件 的 特定 路 由 设置 优先 级 ，route-policy-name 指 定 路 由 策略 名 称 


ri 用 来 启用 系统 视图 下 的 指定 RIP 进 程 


用 来 配置 RIP-2 的 验证 方式 及 验证 参数 。 每 次 验证 只 支持 一 个 验证 字 ， 新 
输入 的 验证 字 将 履 盖 旧 验 证 字 


用 来 允许 指定 接口 接收 RIP 报 文 


用 来 设置 接口 接收 RIP 报 文 时 给 路 由 增加 的 度量 值 。value 指 定 对 接收 到 的 
路 由 增加 度量 值 


用 来 设置 一 个 RIP 路 由 器 发 布 一 个 聚合 的 本 地 人 * 地 址 。 训 -address 表 示 需 要 
聚合 的 网 络 人 地 址 ，mask 表 示 网 络 掩 码 ，avoid-feedback 表 示 禁 止 从 此 接 
口 学 习 到 相同 的 聚合 路 由 


用 来 设置 接口 的 RIP 版 本 。1 表 示 RIP-1 报 文 ， 2 表示 RIP-2 报 文 ; broadeast 
表示 以 广播 方式 发 送 RIP-2 报 文 ，multicast 表 示 以 组 播 方式 发 送 RIP-2 报 
文 。 默 认 情 况 下 ，RIP-2 报 文 使 用 组 播 方式 发 送 



























default-route originate 
[ match default 

[ avoid-learning ] ] 

[ cost cost ] 






display rip 






display rip process-id 
database [ verbose | 




























peer ip-address 






preference { preference | 













rip authentication-mode 


rip metricin value 















rip summary-address 
ip-address mask 
[ avoid-feedback ] 










rip version { 工 | 2 
[ broadcast | 
multicast ] } 
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( 续 表 ) 


静态 路 由 、RIP 路 由 协议 配置 命令 


silent-interface { all | 用 来 抑制 RIP 接 口 ， 使 其 只 接收 报 文 用 来 更 新 自己 的 路 由 表 ， 而 不 发 送 更 
interface-type 新 报 文 。all 指 定 抑制 所 有 RIP 接 口 ; interface-type interface-number 指定 接 
interface-number } 口 类 型 及 编号 


用 来 启用 RIP 有 类 聚合 。 聚 合 后 的 路 由 以 使 用 自然 掩 码 的 路 由 形式 发 布 


用 来 调整 定时 器 。update 指 定 路 由 更 新 报 文 的 发 送 间隔 ; age 指定 路 由 老 
化 时 间 ; garbage-collect 指 定 路 由 被 从 路 由 表 中 删除 的 时 间 〈 标 准 中 定义 
的 garbage 收 集 时 间 ) 


用 来 指定 一 个 全 局 RIP 版 本 ，1 指 定 RIP-1 版 本 ，2 指 定 RIP-2 版 本 


用 来 在 区 域 边 界 路 由 器 (ABR) 上 配置 路 由 聚合 。zp-address 指 定 耻 地 址 ， 
点 分 十 进 制 形式 ;as 指定 下 地 址 的 掩 码 ， 点 分 十 进 制 形 式 ，advertise | 
not-advertise 指 定 是 否 发 布 这 条 聚合 路 由 , 默认 为 发 布 聚 合 路 由 ; cost cost 
设置 聚合 路 由 的 开销 。 当 此 参数 不 配置 时 , 则 取 所 有 被 聚合 的 路 由 中 最 大 
的 那个 开销 值 作 为 聚合 路 由 的 开销 


ee 用 来 创建 并 进入 OSPF 区 域 视图 。area-id 指 定 区 域 的 标识 ， 可 以 是 十 进 制 
整数 或 IP 地 址 格式 


用 来 设置 OSPF 对 引入 的 路 由 进行 聚合 。 如 -address 指 定 耻 地 址 ， 点 分 十 进 




























timers rip update age 
garbage-collect 




















abr-summary ip-address 
mask[ [ advertise | 
not-advertise ] | cost 
cost]” 










asbr-summary ip- 制 格式 ; mask 指 定 掩 码 ， 点 分 十 进 制 格式 ; not-advertise 不 通告 聚合 路 由 ， 
address mask 如 果 不 指定 该 参数 则 将 通告 聚合 路 由 ; tag tag 用 于 通过 路 由 策略 控制 路 


[not-advertise | tag tag | 由 发 布 ; cost cost 设 置 聚合 路 由 的 开销 。 当 此 参数 不 配置 时 ， 对 于 Typel 

| cost cost | distribute- 类 外 部 路 由 , 取 所 有 被 聚合 路 由 中 的 最 大 开销 值 作为 聚合 路 由 的 开销 ; 对 

delay interval ] 于 Type2 类 外 部 路 由 ， 则 取 所 有 被 聚合 路 由 中 的 最 大 开销 值 再 加 上 1 作为 聚 
合 路 由 的 开销 。 distribute-delay interval 指定 延迟 发 布 聚合 路 由 的 时 间 


用 来 指定 OSPF 区 域 所 使 用 的 验证 模式 及 验证 口令 。 配 置 该 命令 相当 于 在 
指定 区 域 所 有 路 由 器 接口 下 使 用 相同 的 验证 
用 来 显示 OSPF 中 各 区 域 邻居 的 信息 


display ospf routing 用 来 显示 OSPF 路 由 表 的 信息 


用 来 指定 运行 OSPF 协 议 的 接口 和 接口 所 属 的 区 域 。address 指 定 接口 所 在 
的 网 段 地 址 ; wildcard-mask 指 定 掩 码 的 反 码 ， 相 当 于 将 他 地 址 的 掩 码 反 转 
(0 变 1，1 变 0) 。 其 中 ，“1” 表 示 忽 略 耻 地 址 中 对 应 的 位 ，“0” 表 示 必 
须 保 留 此 位 


用 来 创建 并 运行 OSPF 进 程 


ospf . 本 有 
用 来 设置 相 邻 路 由 器 之 间 的 验证 模式 及 验证 字 


用 来 配置 接口 上 运行 OSPF 协 议 所 需 的 开销 。cosit 指 定 运行 OSPF 协 议 所 需 
的 开销 


用 来 设置 OSPF 的 邻居 失效 时 间 



























network address 
wildcard-mask 







Ospf cost cost 
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〈 续 表 ) 


ospf timer hello interval | 用 来 设置 接口 发 送 Hello 报 文 的 时 间 间 隔 


peer ip-address 用 来 配置 NBMA 网 络 上 相 邻 路 由 器 人 P 地 址 及 DR 优先 级 。ip-address 指 定 邻 接 
[ dr-priority priority ] 点 的 全 地址 ; dr-priority priority 指 定 表 示 网 络 邻 居 的 优先 级 的 相应 数值 


VRRP 配 置 命 令 
display vrrp 用 来 查看 当前 VRRP 备 份 组 的 状态 信息 和 配置 参数 


vrrp vrid 、 、、 
authentication-mode 用 来 设置 VRRP 备 份 组 的 认证 字 



















Vr we fk 用 来 设置 备份 组 中 路 由 器 采用 非 抢 占 方式 。vrid virtual-router-id 指定 
router-id preempt-mode 组 号 
divatile VRRP 备 份 组 号 








vrrp vridvirtual- 
router-id priority 
priority-value 


用 来 设置 路 由 器 在 备份 组 中 的 优先 级 。vrid virtual-router-id 指 定 VRRP 备 
份 组 号 ; priority priority-value 优先 级 取 值 











vrrp vrid virtual- 


ot Dh 用 来 创建 VRRP 备 份 组 并 为 备份 组 指定 虚拟 人 地 址 。vrid virtual-router-id 
de 指定 VRRP 备 份 组 号 ，virtual-ip viriual-address 指 定 虚拟 IP 地 址 


vrrp virtualip ping enable | 用 来 启用 Master 设 备 响 应 ping 报 文 
生成 树 配置 命令 


active region- 用 来 激活 MST 域 配置 ， 包 括 域名 、 修 订 级 别 、VLAN 和 MSTI 的 映射 
configuration 关系 


display stp 用 来 显示 生成 树 实例 的 状态 信息 和 统计 信息 


instance 用 来 将 指定 VLAN 映 射 到 指定 MSTI 上 
region-name name 用 来 配置 MST 域 名 
revision-level /eve/ 配置 MSTP 修 订 级 别 


指定 MSTP 功 能 的 状态 。disable 表 示 禁 用 MSTP 功 能 ; enable 表 示 启 用 
MSTP 功 能 


用 来 配置 当前 接口 在 指定 MSTI 上 的 接口 路 径 开销 


指定 当前 接口 配置 为 边缘 接口 或 非 边 缘 接 口 。 默认 情况 下 ,所 有 接口 均 为 
非 边 缘 接 口 。disable 表 示 配 置 当 前 的 接口 为 非 边 缘 接口 ，enable 表 示 配 置 
当前 的 接口 为 边缘 接口 


ee { mstp | stp | | 用 来 配置 设备 的 MSTP 工 作 模式 


stp [ instance 用 来 配置 在 指定 MSTI 中 的 优先 级 。instance instance-iq 指 定 MSTI， 其 中 
instance-id |] priority instance-id 表 示 MSTI 的 编号 。priority 指定 优先 级 ， 优 先 级 值 越 小 ， 则 优 
priority 先 级 越 高 


stp [ instance instance-id ] EF Gs 
用 来 配置 当前 交换 机 作为 指定 MSTI 的 根 交换 机 



















stp { disable | enable } 













stp edged-port { disable 
| enable } 
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( 续 表 ) 


生成 树 配 置 命令 


stp [ instance instance-id] | 用 来 配置 当前 交换 机 作为 指定 MSTI 的 备份 根 交换 机 。instance instance-id 
root secondary 指定 MSTI， 其 中 instance-id 表 示 MSTI 的 编号 


stp root-protection 用 来 启动 当前 接口 的 Root 保 护 功 能 
stp tc-protection 用 来 启用 交换 机 对 TC 类 型 BPDU 报 文 的 保护 功能 





stp timer hello hello-time | 用 来 配置 Hello Time 时 间 
deg max-age mcx | 用 来 配置 Max Age 时 间 ， 即 接口 上 的 BPDU 老 化 时 间 
Re 通过 设 定 Hello Time 的 倍数 (Timer Factor) 来 配置 交换 机 的 超时 时 间 


ARP、DHCP 配 置 命令 


arp-proxy enable 用 来 启动 接口 的 路 由 式 Proxy ARP 功 能 
arp static 用 来 配置 静态 ARP 映 射 表 
青 民 





AN 
| 
S 
Ey 













dhcp relay release 用 来 通过 DHCP 中 继 向 DHCP 服 务 器 发 出 释放 客户 端 申 请 到 的 人 地 址 的 请 求 


dhep relay server-ip 
hes 用 来 配置 DHCP 中 继 所 代理 的 DHCP 服 务 器 地 址 


dhcp relay server-select i ,所 对 应 
i 用 来 配置 DHCP 中 继 所 对 应 的 DHCP 服 务 器 组 
dhcp select global 用 来 启用 接口 的 DHCP 服 务 功能 ， 指 定 S5700 从 全 局 地 址 池 分 配 地 址 


dhe select interface | 用 来 启用 接口 的 DHCP 服 务 功能 ， 同 时 根据 接口 地 址 创建 接口 地 址 池 ， 指 
P 定 交 换 机 从 接口 地 址 池 分 配 地 址 


用 来 启用 DHCP Relay 功 能 。 启 用 DHCP Relay 功 能 后 ，VLANIF 接 口 对 接收 到 
的 DHCP 报 文通 过 中 继 发 送 到 外 部 DHCP Server， 由 外 部 DHCP Server 分 配 地 址 


用 来 在 DHCP 服 务 器 组 中 添加 DHCP 服 务 器 。zp-adaress 指 定 DHCP 服 务 器 IP 
地 址 ; 训 -address-index 指 定 IP 地 址 的 索引 。 配置 DHCP 服 务 器 亿 地 址 时 ， 可 
以 选择 指定 耳 地 址 索引 万 -address-imdex， 如 不 指定 索引 ， 系 统 将 自动 分 配 
一 个 空闲 的 索引 ， 配 置 的 20 个 下 地 址 和 地 址 索引 一 一 对 应 。 删 除 DHCP 服 
务 器 地 址 时 ， 可 以 指定 下地 址 或 地 址 索引 进行 删除 


用 来 指定 VLANIF 接 口 地 址 池 下 的 DNS 服务 器 


用 来 指定 DHCP 服 务 器 接口 地 址 池 的 域名 









dhcp select relay 












dhep-server ip-address 
[ jp-address-index | 













dhep server dns-list 


dhep server 
(domain-name) 


用 来 配置 VLANIF 接 口 地 址 池 中 不 参与 自动 分 配 的 地 址 范围 。start-ip- 
address 指 定 不 参与 自动 分 配 的 PP 地 址 段 的 起 始 亿 地 址 ，enq-ip-address 指 定 不 
参与 自动 分 配 的 耳 地址 段 的 结束 趾 地址 


dhcp server exclude-ip- 
address siart-ip-address 
[ end-ip-address | 
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( 续 表 ) 


ARP、DHCP 配 置 命令 


ee 


gateway-list jp-address | 用 来 配置 DHCP 服 务 器 全 局 地 址 池 的 出 口 网 关 地 址 
ip pool ip-pool-name 用 来 创建 全 局 地 址 池 
用 来 配置 DHCP 全 局 地 址 池 下 的 地 址 租 期 


network ip-address [ mask 、 
{ mask | mask-length } ] 用 来 配置 全 局 地 址 池 下 可 分 配 的 网 段 地 址 
IPv6 配 置 命令 


display ipv6 interface 用 来 查看 接口 的 IPv6 信 息 。interface-type 指定 接口 类 型 ，interface-number 
[ imierface-ype interface。 | 指定 接口 编号 ，brief 显 示 接 口 的 摘要 信息 


number | brief ] 


ipv6 用 来 启用 设备 转发 IPv6 单 播报 文 ， 包 括 本 地 IPv6 报 文 的 发 送 与 接收 


ipv6 address { ipv6- 用 来 手工 配置 接口 的 站 点 本 地 地 址 或 全 球 单 播 地 址 。ipv6-address 指定 
address prefix-length |ipv6- | IPv6 地 址 ; prefix-length 指 定 前 缀 长 度 ， 只 能 在 Loopback 接 口上 配置 前 缀 长 
address/prefix-length } 度 是 128bit 的 IPv6 地 址 


ipv6 address auto sa 和 二 
a 用 来 为 接口 配置 自动 生成 的 链 路 本 地 地 址 


ipv6 address { ipv6- 
address prefix-length |ipv6- 
address | prefix-length } 
eui-64 


ipv6 address ipv6- _ , 

address link-local 用 来 手动 配置 指定 接口 的 链 路 本 地 地 址 

ipv6 enable 用 来 在 接口 上 启用 IPv6 功 能 
GRE 配 置 命令 


093 nation desfp。 | 用 来 对 隧道 指定 目的 端 ?P 地 址 。dest-ip-address 指 定 Tunnel 的 目的 地 址 


pe 困 uel 用 来 查看 Tunnel 接 口 的 信息 。interface-number 指 定 Tunnel 接 口 的 编号 
display tunnel-info 用 来 查看 隧道 信息 

















































用 来 给 接口 配置 EUI-64 格 式 的 站 点 本 地 地 址 或 全 球 单 播 地 址 。ipv6-address 
指定 IPv6 地 址 ，prefix-length 指定 前 级 长 度 
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( 续 表 ) 
GRE 配 置 命令 


用 来 创建 一 个 Tunnel 接 口 ， 并 进入 该 Tunnel 接 口 视图 。interface number 
Tunnel 接 口 的 编号 ， 具 体 编号 形式 与 实际 使 用 的 硬件 设备 相关 。Tunnel 接 
口 编号 只 具有 本 地 意义 ， 隧 道 两 端 可 以 使 用 不 同 的 接口 编号 


interface tunnel 
interface-number 


用 来 指定 Tunnel 接 口 的 源 地 址 或 源 接口 | 


用 来 配置 隧道 模式 。gre 表 示 配 置 Tunnel 接 口 为 GRE 隧 道 模式 ，GRE 隧 道 
为 点 到 点 模式 ; none 配置 Tunnel 接 口 的 隧道 模式 为 NONE， 该 模式 的 隧道 
不 具备 任何 功能 ， 为 了 使 用 该 隧道 接口 ， 必 须 将 隧道 模式 切换 为 其 他 模式 


tunnel-protocol { gre | 
none } 





封面 设计 : Dile 边 利 





作为 “华为 ICT 认 证 系列 丛书 ”中 一 本 不 可 多 得 的 实验 学 
络 技术 实验 ee 
的 HCNA 网 络 技术 学 习 用 书 。 本 书 基于 eNSP 搭 建 企 
置 案例 ， 将 真实 场景 与 配置 实例 紧密 结合 ， 本 者 能 让 


南 ，《HCNA 网 
创作 的 一 本 权威 性 
实 场景 ， 并 给 出 大 量 配 
为 VRP 命 令 体系 














获得 操作 维护 华为 网 络 设备 的 能 力 ， 而 且 能 帮助 读者 进一步 深刻 理解 HCNA 网 络 技 
术 原 理 ， 具 备 企业 网 络 规划 、 部 署 、 故 障 排除 的 能 力 。 

本 书 对 HCNA 网 络 技术 中 的 各 个 知识 点 进行 了 深入 剖析 ， 并 为 每 项 知识 点 精心 
设计 、 量 身 打造 了 真实 的 应 用 场景 ， 配 以 Step 一 by Step 方 式 的 详尽 步骤 讲解 ， 使 其 
条 理 清晰 、 繁 而 不 杂 ， 一 学 即 会 ;， 并 且 ， 每 个 实验 的 结尾 还 设计 有 能 够 深入 启发 的 
思考 题 ， 帮 助 读者 提升 对 相关 知识 的 进一步 学 习 和 理解 ， 使 其 能 够 真正 地 学 有 所 
思 ， 学 有 所 获 ， 学 有 所 效 。 
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